Microsoft ha appena pubblicato il Patch Tuesday di febbraio 2026, correggendo 58 vulnerabilità critiche, inclusi 6 zero-day sfruttati in attacchi reali. Se usi Windows, aggiorna immediatamente il tuo sistema andando su Impostazioni > Aggiornamento e sicurezza > Windows Update per scaricare e installare le patch. Questo semplice passo ti proteggerà da rischi come escalations di privilegi, esecuzione di codice remoto e bypass di sicurezza.
Questi aggiornamenti non riguardano solo bug teorici: tre delle zero-day erano già pubbliche e tre attivamente usate da hacker. Microsoft ha anche iniziato a distribuire nuovi certificati Secure Boot per sostituire quelli del 2011 in scadenza a giugno 2026, garantendo un rollout graduale e sicuro solo su dispositivi stabili.
In totale, le patch coprono vari componenti Windows, Office, Azure e altro. Ci sono 5 vulnerabilità critiche: 3 escalations di privilegi e 2 divulgazioni di informazioni. La distribuzione per categoria include 25 escalations di privilegi, 5 bypass di funzionalità di sicurezza, 12 esecuzioni di codice remoto, 6 divulgazioni di informazioni, 3 denial of service e 7 spoofing.
Non aspettare: verifica gli aggiornamenti ora per evitare exploit noti.
Le 6 zero-day attivamente sfruttate
Microsoft ha classificato queste come zero-day perché non avevano patch ufficiali al momento della scoperta o dello sfruttamento pubblico. Ecco i dettagli principali:
- CVE-2026-21510: Bypass di funzionalità di sicurezza nel Windows Shell. Un attaccante può convincere l’utente ad aprire un link o file shortcut malevolo, aggirando SmartScreen e avvisi di sicurezza, probabilmente il Mark of the Web.
- CVE-2026-21513: Bypass nel framework MSHTML. Permette a un attaccante non autorizzato di superare protezioni di sicurezza via rete.
- CVE-2026-21514: Bypass in Microsoft Word. Richiede l’apertura di un file Office malevolo, aggirando mitigazioni OLE in Microsoft 365 e Office.
- CVE-2026-21519: Escalation di privilegi nel Desktop Window Manager. Può concedere privilegi SYSTEM a un attaccante.
- CVE-2026-21525: Denial of service nel Windows Remote Access Connection Manager, tramite dereferenziazione di puntatore nullo.
- CVE-2026-21533: Escalation di privilegi in Windows Remote Desktop Services, dovuto a gestione impropria dei privilegi.
Di queste, CVE-2026-21510, CVE-2026-21513 e CVE-2026-21514 erano pubblicamente note. Le scoperte sono attribuite a team interni Microsoft, Google Threat Intelligence e ricercatori esterni come 0patch e CrowdStrike.
Aggiornamenti da altri vendor
Febbraio 2026 vede anche release da altri produttori:
- Adobe ha aggiornato Audition, After Effects, InDesign e altro, senza exploit noti.
- BeyondTrust ha corretto un RCE critico nei suoi tool Remote Support e Privileged Remote Access.
- CISA ha emesso una direttiva per rimuovere dispositivi di rete fuori supporto nelle agenzie federali.
- Cisco ha patchato Secure Web Appliance e Cisco Meeting Management.
- Fortinet ha aggiornato FortiOS e FortiSandbox.
- Google ha pubblicato il bollettino Android senza fix di sicurezza.
- n8n ha risolto vulnerabilità che bypassavano patch precedenti.
- SAP ha corretto due criticali nei suoi prodotti.
Microsoft sta anche testando Sysmon nativo in Windows 11 Insider, utile per admin.
Technical deep dive
Per esperti IT, ecco un’analisi dettagliata. Il Patch Tuesday risolve vulnerabilità in molteplici stack:
| Componente | CVE-ID | Titolo | Severità |
|---|---|---|---|
| .NET | CVE-2026-21218 | Vulnerabilità spoofing | Important |
| Azure Arc | CVE-2026-24302 | Escalation privilegi | Critical |
| Azure Compute Gallery | CVE-2026-23655 | Divulgazione info ACI | Critical |
| Azure Compute Gallery | CVE-2026-21522 | Escalation privilegi ACI | Critical |
| Azure DevOps Server | CVE-2026-21512 | Cross-Site Scripting | Important |
| Azure Front Door | CVE-2026-24300 | Escalation privilegi | Critical |
| Azure Function | CVE-2026-21532 | Divulgazione info | Critical |
| Azure HDInsights | CVE-2026-21529 | Spoofing | Important |
| Azure IoT SDK | CVE-2026-21528 | Divulgazione info | Important |
| Azure Local | CVE-2026-21228 | Esecuzione codice remoto | Important |
| Azure SDK | CVE-2026-21531 | Esecuzione codice remoto Python | Important |
| Desktop Window Manager | CVE-2026-21519 | Escalation privilegi | Important |
| GitHub Copilot | CVE-2026-21516 | Esecuzione codice remoto Jetbrains | Important |
| GitHub Copilot e Visual Studio | CVE-2026-21523 | Esecuzione codice remoto | Important |
| GitHub Copilot e Visual Studio | CVE-2026-21256 | Esecuzione codice remoto | Important |
| GitHub Copilot e Visual Studio | CVE-2026-21257 | Escalation privilegi | Important |
| GitHub Copilot e VS Code | CVE-2026-21518 | Bypass sicurezza | Important |
| Mailslot File System | CVE-2026-21253 | Escalation privilegi | Important |
| Microsoft Defender for Linux | CVE-2026-21537 | Esecuzione codice remoto | Important |
| Microsoft Edge | CVE-2026-1861 | Heap buffer overflow libvpx | Unknown |
| Microsoft Edge | CVE-2026-1862 | Type confusion V8 | Unknown |
| Microsoft Edge Android | CVE-2026-0391 | Spoofing | Moderate |
| Microsoft Exchange | CVE-2026-21527 | Spoofing | Important |
| Microsoft Graphics | CVE-2026-21246 | Escalation privilegi | Important |
| Microsoft Graphics | CVE-2026-21235 | Escalation privilegi | Important |
| Office Excel | CVE-2026-21261 | Divulgazione info | Important |
| Office Excel | CVE-2026-21258 | Divulgazione info | Important |
| Office Excel | CVE-2026-21259 | Escalation privilegi | Important |
| Office Outlook | CVE-2026-21260 | Spoofing | Important |
| Office Outlook | CVE-2026-21511 | Spoofing | Important |
| Office Word | CVE-2026-21514 | Bypass sicurezza | Important |
| MSHTML | CVE-2026-21513 | Bypass sicurezza | Important |
| Power BI | CVE-2026-21229 | Esecuzione codice remoto | Important |
| Windows Hyper-V | CVE-2026-21244 | Esecuzione codice remoto | Important |
| Windows Hyper-V | CVE-2026-21255 | Bypass sicurezza | Important |
| Windows Hyper-V | CVE-2026-21248 | Esecuzione codice remoto | Important |
| Windows Hyper-V | CVE-2026-21247 | Esecuzione codice remoto | Important |
| WinSock Driver | CVE-2026-21236 | Escalation privilegi | Important |
| WinSock Driver | CVE-2026-21241 | Escalation privilegi | Important |
| WinSock Driver | CVE-2026-21238 | Escalation privilegi | Important |
| Windows App Mac | CVE-2026-21517 | Escalation privilegi installer | Important |
| Windows Cluster | CVE-2026-21251 | Escalation privilegi CCF | Important |
| Connected Devices | CVE-2026-21234 | Escalation privilegi | Important |
| Windows GDI+ | CVE-2026-20846 | Denial of service | Important |
| HTTP.sys | CVE-2026-21240 | Escalation privilegi | Important |
| HTTP.sys | CVE-2026-21250 | Escalation privilegi | Important |
| HTTP.sys | CVE-2026-21232 | Escalation privilegi | Important |
| Windows Kernel | CVE-2026-21231 | Escalation privilegi | Important |
| Windows Kernel | CVE-2026-21222 | Divulgazione info | Important |
| Windows Kernel | CVE-2026-21239 | Escalation privilegi | Important |
| Windows Kernel | CVE-2026-21245 | Escalation privilegi | Important |
| Windows LDAP | CVE-2026-21243 | Denial of service | Important |
| Windows Notepad | CVE-2026-20841 | Esecuzione codice remoto | Important |
| Windows NTLM | CVE-2026-21249 | Spoofing | Important |
| Remote Access Manager | CVE-2026-21525 | Denial of service | Moderate |
| Remote Desktop | CVE-2026-21533 | Escalation privilegi | Important |
| Windows Shell | CVE-2026-21510 | Bypass sicurezza | Important |
| Windows Storage | CVE-2026-21508 | Escalation privilegi | Important |
| WSL | CVE-2026-21237 | Escalation privilegi | Important |
| WSL | CVE-2026-21242 | Escalation privilegi | Important |
| Win32K GRFX | CVE-2023-2804 | Heap overflow libjpeg-turbo | Important |
Queste patch includono fix per Edge (Chromium), Hyper-V, Kernel e servizi cloud Azure. Per deploy, testa in staging: molti CVE hanno CVSS alto e exploitation likely. I nuovi certificati Secure Boot usano dati di telemetria per rollout phased, riducendo rischi su device instabili. Admin dovrebbero monitorare Windows Update per KB5077181 (Win11), KB5075941 e KB5075912 (Win10 ESU). Per mitigare zero-day come CVE-2026-21514, evita file Office da fonti non fidate e usa protezioni OLE.
