Microsoft ha appena rilasciato una patch di sicurezza critica per una vulnerabilità in Windows che gli hacker stanno già sfruttando attivamente. La falla, identificata come CVE-2026-20805, colpisce il Desktop Window Manager di Windows e permette agli attaccanti di accedere a informazioni sensibili dalla memoria del tuo computer. La buona notizia è che Microsoft ha già fornito una correzione. La cattiva notizia è che devi installarla il prima possibile – gli enti governativi federali hanno ricevuto l’ordine di applicarla entro il 3 febbraio 2026.
Se utilizzi un computer Windows, dovresti controllare gli aggiornamenti di sistema nelle impostazioni e installarli immediatamente. Questo è uno di quei rari casi in cui la velocità è davvero importante.
Che cosa è questa vulnerabilità?
CVE-2026-20805 è una vulnerabilità di divulgazione di informazioni scoperta dal team di threat intelligence di Microsoft stesso. In termini semplici, permette a un attaccante che ha già accesso al tuo computer di scoprire dove si trovano i dati importanti nella memoria del sistema. Anche se questo potrebbe sembrare una cosa minore, è in realtà un passo cruciale in un attacco più ampio.
La vulnerabilità ha ricevuto una valutazione CVSS di 5.5, che la classifica come “Important” (Importante) piuttosto che “Critical” (Critica). Tuttavia, gli esperti di sicurezza avvertono che questa classificazione non dovrebbe ingannare gli amministratori sulla vera gravità del problema.
Perché questo è così pericoloso?
La vulnerabilità funziona rivelando un indirizzo di memoria da una porta ALPC (Advanced Local Procedure Call) remota. In parole povere, gli attaccanti possono scoprire dove il sistema ha archiviato informazioni cruciali in memoria. Questo è particolarmente pericoloso perché viola una protezione di sicurezza fondamentale chiamata ASLR (Address Space Layout Randomization).
ASLR è progettato per rendere più difficile agli attaccanti trovare dove si trovano i dati importanti in memoria, rendendo così gli attacchi molto più difficili. Quando una vulnerabilità come CVE-2026-20805 rivela questi indirizzi, gli attaccanti possono combinarla con altri exploit per ottenere il controllo completo del tuo computer.
Come ha spiegato un esperto di sicurezza, gli attaccanti potrebbero “trasformare un exploit complesso e inaffidabile in un attacco pratico e ripetibile.” In altre parole, questa vulnerabilità rende molto più facile per i cattivi completare attacchi più sofisticati.
Chi sta già sfruttando questa falla?
Microsoft ha confermato che questa vulnerabilità è già sotto attacco attivo. CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto CVE-2026-20805 al suo catalogo di vulnerabilità conosciute come sfruttate, il che significa che il governo federale degli Stati Uniti la considera una minaccia abbastanza reale da ordinare a tutte le agenzie federali di applicare la patch entro il 3 febbraio 2026.
Tuttavia, Microsoft non ha fornito dettagli su chi sta effettuando gli attacchi o quanto sia diffuso lo sfruttamento. Per questo motivo, gli esperti consigliano di non aspettare e di applicare la correzione il prima possibile.
Patch Tuesday di gennaio 2026: un mese impegnativo
CVE-2026-20805 è apparso durante il primo Patch Tuesday di gennaio 2026, ed è stato un mese particolarmente impegnativo per Microsoft. L’azienda ha rilasciato patch per 112 vulnerabilità di Microsoft, di cui otto classificate come “Critical” (Critiche).
Oltre a CVE-2026-20805, ci sono altre due vulnerabilità pubblicamente note in questa release:
CVE-2026-21265: Secure Boot Certificate Expiration
Questa vulnerabilità ha una valutazione CVSS di 6.4 ed è una vulnerabilità di bypassing delle funzioni di sicurezza. Il problema riguarda i certificati Secure Boot originariamente emessi nel 2011, che stanno per scadere. Se i dispositivi non vengono aggiornati con i nuovi certificati del 2023, potrebbero perdere le protezioni Secure Boot e gli aggiornamenti di sicurezza.
Microsoft aveva già pubblicato un avviso su questa scadenza dei certificati nel giugno 2025, quindi gli amministratori hanno avuto avvertimento. Tuttavia, gli esperti notano che sebbene sia improbabile che venga sfruttata, questa vulnerabilità potrebbe causare “parecchi mal di testa per gli amministratori” che non aggiornano i loro sistemi in tempo.
CVE-2023-31096: Driver Agere Modem
Questa è una vulnerabilità di escalation dei privilegi con valutazione CVSS 7.8 nei driver modem Agere di terze parti che vengono forniti con le versioni supportate di Windows. Microsoft aveva avvertito a ottobre che questo buco di sicurezza era stato reso pubblico, e ha promesso di rimuovere i driver in un aggiornamento futuro. Con l’aggiornamento di gennaio, i driver sono stati finalmente rimossi.
Altre vulnerabilità Office preoccupanti
Tra le altre vulnerabilità interessanti di questo mese ci sono CVE-2026-20952 (CVSS 7.7) e CVE-2026-20953 (CVSS 7.4), entrambe vulnerabilità di use-after-free in Office che permettono a un attaccante non autorizzato di eseguire codice localmente.
Queste vulnerabilità sfruttano il Preview Pane di Office, una funzione che gli utenti utilizzano frequentemente. Sebbene al momento non siano stati segnalati sfruttamenti attivi, gli esperti avvertono che questo tipo di vulnerabilità tende ad accumularsi nel tempo, e “è solo una questione di tempo prima che gli attori delle minacce trovino il modo di utilizzare questi tipi di bug nei loro exploit.”
Come proteggerti
La protezione principale è semplice: installa gli aggiornamenti di Windows il prima possibile. Ecco come:
- Apri le impostazioni di Windows
- Vai a “Aggiornamento e sicurezza”
- Fai clic su “Verifica disponibilità di aggiornamenti”
- Installa gli aggiornamenti disponibili
- Riavvia il computer se richiesto
Gli amministratori IT dovrebbero prioritizzare la distribuzione di questo aggiornamento a tutti i sistemi Windows nell’organizzazione.
Technical Deep Dive
Analisi tecnica di CVE-2026-20805
CVE-2026-20805 è un’informazione disclosure vulnerability nel Desktop Window Manager (DWM), un componente critico della grafica e del windowing di Windows. La vulnerabilità consente a un attaccante locale autenticato con privilegi bassi di esporre un indirizzo di sezione da una porta ALPC remota.
Il Desktop Window Manager gestisce il rendering delle finestre e la composizione desktop in Windows. Una porta ALPC (Advanced Local Procedure Call) è un meccanismo di comunicazione inter-processo utilizzato da Windows per la comunicazione a basso livello tra processi.
L’exploit della vulnerabilità rivela l’indirizzo di memoria user-mode da una porta ALPC remota, compromettendo efficacemente ASLR (Address Space Layout Randomization). ASLR è una contromisura fondamentale contro gli exploit di buffer overflow e altre tecniche di manipolazione della memoria. Randomizzando i layout dello spazio degli indirizzi, ASLR rende estremamente difficile per gli attaccanti prevedere dove si trovano i dati o il codice vulnerabile in memoria.
Quando CVE-2026-20805 rivela questi indirizzi, gli attaccanti possono:
- Mappare il layout della memoria del processo target
- Identificare le posizioni di funzioni critiche e dati sensibili
- Catena con vulnerabilità di RCE separate per un exploit affidabile
- Bypassare le protezioni del kernel come Control Flow Guard (CFG) e Arbitrary Code Guard (ACG)
Il CVSS score di 5.5 potrebbe sembrare basso per una vulnerabilità che compromette ASLR, ma riflette il fatto che richiede accesso locale e non fornisce direttamente l’esecuzione di codice. Tuttavia, in combinazione con altre vulnerabilità (come CVE-2026-20952 o CVE-2026-20953), diventa parte di un exploit chain estremamente potente.
Implicazioni per i difensori di rete
Gli esperti di sicurezza come Kev Breen di Immersive hanno sottolineato che l’omissione di Microsoft nel divulgare quali altri componenti potrebbero essere coinvolti nella catena di exploit “limita significativamente” la capacità dei difensori di rete di cercare proattivamente attività correlate. Questo è un punto critico: senza informazioni complete su come questa vulnerabilità potrebbe essere sfruttata insieme ad altri buchi di sicurezza, i team di sicurezza devono affidarsi principalmente alla patch rapida come unica mitigazione efficace.
Contesto di Patch Tuesday gennaio 2026
Questo Patch Tuesday di gennaio 2026 rappresenta il terzo più grande rilascio di gennaio dopo gennaio 2025 e gennaio 2022. Delle 114 vulnerabilità affrontate, la distribuzione è:
– 8 Critical
– 105-106 Important
– 58 Elevation of Privilege
– 22 Information Disclosure
– 21 Remote Code Execution
– 5 Spoofing
Le aree interessate includono componenti critici di Windows come Windows Kernel, NTFS, CLFS, DWM, Win32K, WinSock, e servizi di accesso remoto come RRAS. Questo ampio spettro di vulnerabilità riflette l’importanza della patching regolare e della gestione vulnerabilità in ambienti Windows.
Fonte: https://www.theregister.com/2026/01/14/patchtuesdayjanuary_2026/
