Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

update

Aggiornamenti Microsoft: corrette due zero-day e la prima vulnerabilità scoperta dall’IA

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Microsoft rilascia gli aggiornamenti mensili con otto vulnerabilità critiche, una valanga di escalation di privilegi e una falla in Excel che potrebbe trasformare Microsoft Copilot in strumento di esfiltrazione dati. E, per la prima volta nella storia del Patch Tuesday, una CVE viene attribuita a un agente IA di penetration test

Pubblicato il 11 mar 2026
Paolo Tarsitano

Editor Cybersecurity360.it

Aggiornamenti Microsoft Patch Tuesday

Dopo il febbraio da incubo, con cinque zero-day attivamente sfruttate e 58 vulnerabilità risolte, il Patch Tuesday di marzo 2026 porta una parziale boccata d’ossigeno: nessuna vulnerabilità risulta attivamente sfruttata in the wild al momento del rilascio.

Ma se pensiamo si tratti di un mese tranquillo, rischiamo di farci trovare impreparati: il fatto che nessuna vulnerabilità risulti attivamente sfruttata al momento del rilascio, infatti, non deve indurre false sicurezze. La finestra tra la pubblicazione di una patch e l’exploit pubblico si è ridotta a poche ore e ogni giornata di ritardo nel patching può significare una potenziale esposizione dei sistemi aziendali.

Nel complesso, Microsoft ha rilasciato aggiornamenti per 83 vulnerabilità, con 8 classificate come critiche e 75 come importanti. Due di esse erano già di dominio pubblico prima che il fix fosse disponibile, configurandosi a tutti gli effetti come zero-day da divulgazione pubblica.

Ma è la distribuzione per tipologia di vulnerabilità a raccontare una storia precisa: oltre il 55% delle CVE riguarda elevazione di privilegi e questo è un dato che impone una riflessione profonda sulla solidità dei modelli di controllo degli accessi nei sistemi Windows aziendali.

Zero-day pubbliche: SQL Server e .NET sotto i riflettori

Come dicevamo, nel Patch Tuesday di marzo 2026 sono presenti gli aggiornamenti anche per due vulnerabilità zero-day già divulgate pubblicamente e quindi potenzialmente sfruttabili per attacchi reali e mirati.

La vulnerabilità zero-day in Microsoft SQL Server

Tracciata come CVE-2026-21262 e con punteggio CVSS di 8.8 su 10, è la vulnerabilità che merita la massima attenzione operativa del mese. Si tratta di un difetto di controllo degli accessi improprio in SQL Server 2016 e versioni successive che consente a un attaccante già autenticato con privilegi minimi di elevare i propri diritti fino al livello sysadmin attraverso la rete.

La falla era già nota prima del rilascio del relativo aggiornamento, il che significa che il rischio di exploitation è tutt’altro che teorico.

Il punteggio CVSS di 8.8 è appena sotto la soglia che consente di classificare come critica una vulnerabilità (9.0), ma la valutazione numerica non deve ingannare in quanto ottenere privilegi sysadmin su un database server aziendale equivale, nella maggior parte degli scenari reali, a una compromissione totale dei dati gestiti da quell’istanza.

Il consiglio, in questi casi, è di verificare immediatamente l’esposizione di tutte le istanze SQL Server 2016 e versioni successive raggiungibili dalla rete interna o esposte verso l’esterno e successivamente applicare l’aggiornamento. Nel frattempo, è utile limitare i permessi degli utenti di database al minimo necessario e abilitare l’auditing degli accessi privilegiati.

La vulnerabilità zero-day in .NET Runtime

La seconda zero-day pubblica corretta con gli aggiornamenti del Patch Tuesday di marzo 2026 riguarda .NET 9.0 e 10.0 su Windows, macOS e Linux.

In particolare, un errore di lettura fuori dai confini della memoria allocata (Out-of-Bounds Read) consente a un attaccante non autenticato di causare un crash dell’applicazione (Denial of Service) attraverso la rete.

Sebbene l’impatto diretto sia limitato alla disponibilità del servizio, la finestra di riavvio potrebbe aprire ulteriori vettori d’attacco.

L’impatto di questa falla va valutato in funzione del contesto applicativo: in un’architettura microservizi o in un’applicazione .NET esposta a Internet, anche un DoS temporaneo può tradursi in danni economici significativi o in una finestra di opportunità per attacchi secondari.

Le altre vulnerabilità del Patch Tuesday di marzo 2026

Nel Patch Tuesday del mese di marzo 2026 sono presenti gli aggiornamenti per altre tre vulnerabilità critiche degne di nota.

Le prime due evidenziano come la suite Office possa diventare un vettore privilegiato di attacco, mentre la seconda evidenzia come sia possibile sfruttare Microsoft Copilot in modalità Agent per esfiltrare dati sensibili da Excel.

Ecco tutti i dettagli.

Le vulnerabilità di Remote Code Execution in Microsoft Office

Puntuale come ogni mese, Microsoft Office torna al centro della scena. Le due vulnerabilità che interessano la suite d’ufficio, entrambe classificate come critiche con punteggio CVSS di 8.4, condividono una caratteristica particolarmente insidiosa: possono essere sfruttate semplicemente visualizzando un file malevolo nel riquadro di anteprima di Outlook (Preview Pane), senza che l’utente apra esplicitamente l’allegato.

In particolare, la CVE-2026-26113 sfrutta una type confusion (accesso a una risorsa tramite un tipo di file incompatibile), mentre la CVE-2026-26110 è basata su un untrusted pointer dereference. In entrambi i casi, un attaccante non autenticato può inviare un file appositamente costruito e ottenere l’esecuzione di codice arbitrario sul sistema della vittima, rappresentando un classico scenario da campagna di phishing mirato o da attacco supply chain via e-mail.

L’analisi di queste vulnerabilità è utile a sottolineare quanto la Preview Pane di Outlook rimanga ancora uno dei vettori di attacco più sottovalutati nelle organizzazioni: disabilitarla per i messaggi provenienti da mittenti esterni è una misura di sicurezza che molte aziende ancora non adottano sistematicamente.

La vulnerabilità in Excel e l’attacco via Copilot

La vulnerabilità tracciata come CVE-2026-26144 con punteggio CVSS di 7.5 è forse la più rappresentativa della nuova era della sicurezza applicativa.

Si tratta di un difetto di improper input neutralization in Microsoft Excel che potrebbe consentire a un attaccante remoto non autenticato, e senza alcuna interazione da parte dell’utente, di sfruttare Microsoft Copilot in modalità Agent per esfiltrare dati sensibili attraverso traffico di rete non autorizzato.

Uno scenario che, fino a poco tempo fa, era relegato a threat model teorici ma che oggi una superficie d’attacco concreta man mano che l’integrazione dell’IA nei prodotti Microsoft si approfondisce.

Questa vulnerabilità impone, dunque, alle organizzazioni che hanno adottato Microsoft 365 Copilot di inserire la sicurezza dei modelli IA nel proprio programma di gestione del rischio, abilitando controlli sull’attuazione del principio del privilegio minimo, prevedendo auditing delle sessioni Copilot e attivando controlli di Data Loss Prevention sulle API di uscita.

La svolta storica: la prima CVE scoperta da un agente IA

Tra tutti gli aggiornamenti di questo mese, anche la vulnerabilità tracciata come CVE-2026-21536 merita un capitolo a parte, non tanto per l’impatto tecnico immediato (Microsoft ha già risolto la vulnerabilità sul proprio lato cloud senza richiedere azioni agli utenti), quanto per il contesto della sua scoperta.

La falla, classificata come critica con un punteggio CVSS di 9.8 nel componente Microsoft Devices Pricing Program, è stata identificata da XBOW, un agente di penetration testing completamente autonomo sviluppato da Immersive.

XBOW ha scoperto la vulnerabilità senza accesso al codice sorgente, operando esclusivamente in modalità black-box.

Come ha commentato Ben McCarthy, lead cyber security engineer di Immersive: “questo dimostra come gli agenti AI possano identificare vulnerabilità critiche con punteggio 9.8 senza accesso al codice sorgente”. E aggiunge: “questo sviluppo suggerisce che la ricerca di vulnerabilità assistita dall’IA giocherà un ruolo sempre più centrale nel panorama della sicurezza”.

Tre segnali che non vanno ignorati

L’analisi dei bollettini di sicurezza pubblicati in occasione del Patch Tuesday del mese di marzo 2026 consente di fare alcune importanti considerazioni sulle nuove misure di sicurezza informatica che le aziende dovrebbero quanto prima adottare.

Il dominio delle Elevation of Privilege non è casuale

Oltre il 55% dei CVE mensili riguarda escalation di privilegi. Questo non è un dato congiunturale: riflette la complessità crescente dell’architettura Windows, con decenni di stratificazioni di codice e un modello di permessi che resta strutturalmente difficile da sanificare.

Per le organizzazioni, significa che il perimetro di difesa interno, ossia l’architettura zero trust, la segmentazione e la gestione delle identità, è oggi altrettanto critico del perimetro esterno.

L’integrazione dell’IA amplia la superficie d’attacco

La CVE-2026-26144 non è solo una falla in Excel, ma il segnale che l’introduzione massiva dell’intelligenza artificiale nei prodotti Enterprise crea nuove classi di vulnerabilità che i modelli di sicurezza tradizionali non intercettano.

La security by design dei sistemi IA va affrontata ora, non dopo il primo incidente.

L’IA offensiva è già operativa

Sarebbe sbagliato considerare la vulnerabilità CVE-2026-21536 scoperta dall’agente AI XBOW come un semplice esercizio accademico.

Al contrario, è la prova che la corsa all’armamento tra scoperta di vulnerabilità e loro sfruttamento si è accelerata in modo quantitativo.

I team di sicurezza che non integrano nei propri processi sistemi di gestione delle vulnerabilità AI-assisted rischiano di trovarsi strutturalmente in ritardo rispetto agli avversari.

Teniamo i nostri sistemi sempre aggiornati

Dunque, se il patch management diventa una misura di cyber difesa strategica per le aziende, significa che non basta più semplicemente “correre ai ripari”: quando una zero-day con codice exploit già pubblico è coinvolta, il tempo diventa un fattore decisivo.

In un contesto di attacchi sempre più veloci e mirati, la capacità delle aziende di ridurre la finestra di esposizione tra la pubblicazione delle patch e la loro applicazione diventa un fattore critico per la resilienza informatica.

Installiamo gli aggiornamenti Microsoft

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo.

Quando un aggiornamento è disponibile, viene scaricato e segnalato all’utente che così può installarlo per mantenere il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 11 è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Il consiglio è quello di eseguire un backup del sistema o, quantomeno, dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.

Ulteriori dettagli sul pacchetto cumulativo di aggiornamenti per questo mese sono disponibili sulla pagina ufficiale Microsoft.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Paolo Tarsitano
Editor Cybersecurity360.it

Ingegnere informatico, formatore, esperto di cyber security e consulente privacy. Da un po’ di tempo ormai condivide le sue conoscenze scrivendo e divulgando articoli di informatica e tecnologia per aiutare lettori e curiosi a costruirsi una coscienza critica sul mondo hi-tech che ci circonda. Cittadino digitale a tempo pieno, appena può si diverte con le altre due sue grandi passioni: il modellismo e i fumetti.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Cyberwarfare iraniano: oltre il nucleare, una potenza nascosta in espansione; In Iran la sorveglianza digitale va a caccia di manifestanti; Guerra in Iran, il blackout informativo come cyber sabotaggio; Data center in guerra: l'interruzione di Amazon Cloud negli Emirati arabi uniti dimostra che oggi il rischio è multi-rischio

  • guerra in iran

    L’attacco fisico al data center Amazon negli Emirati che ridefinisce il rischio cloud

    04 Mar 2026

    di Mirella Castigli

    Condividi
  • Test Tlpt: emesso il regolamento delegato di DORA; Si combatte così come ci si è addestrati: le logiche militari sottese al DORA

  • Regolamento UE

    DORA in pratica: sviluppi regolatori e norme tecniche di attuazione

    29 Mag 2025

    di Riccardo Massaro

    Condividi
  • Sicurezza dei dati nel cloud: sfide e soluzioni

  • la guida pratica

    Data center: sistemi di monitoraggio efficiente delle prestazioni IT

    19 Mar 2025

    di Alessia Valentini

    Condividi
  • Cyber security responsabilità condivisa

  • security awareness

    La cyber security è democratica: multinazionali e casalinghe colpite dallo stesso virus

    22 Lug 2025

    di Fabrizio Saviano

    Condividi
0
Lascia un commento, la tua opinione conta.x