Patch Tuesday di marzo 2026: 83 vulnerabilità corrette e due zero-day pubbliche
Microsoft ha appena pubblicato gli aggiornamenti di sicurezza del Patch Tuesday di marzo 2026, risolvendo 83 vulnerabilità critiche in Windows, Office, SQL Server, Azure e altri componenti. Se usi prodotti Microsoft, applica immediatamente questi update per evitare rischi: vai su Impostazioni > Aggiornamento e sicurezza > Windows Update e clicca su ‘Verifica disponibilità aggiornamenti’. È una soluzione rapida e gratuita che protegge i tuoi dati da attacchi remoti.
Questi patch mensili sono essenziali per chiudere falle che potrebbero permettere a malintenzionati di eseguire codice malevolo, rubare informazioni o prendere il controllo del sistema. Anche se nessuno dei due zero-day è stato confermato in uso attivo, la loro divulgazione pubblica aumenta il pericolo. Priorità alta per server SQL, ambienti Azure e Office esposti online.
In totale, le vulnerabilità includono escalazioni di privilegi (oltre il 55%), esecuzioni di codice remoto (circa il 20%) e altre minacce. Microsoft ha gestito otto falle critiche, con enfasi su Office e Azure. Continua a leggere per dettagli completi e consigli pratici.
Le vulnerabilità zero-day corrette
Questo mese spiccano due zero-day pubbliche, divulgate prima della disponibilità delle patch, ampliando la finestra di opportunità per gli attaccanti:
CVE-2026-26127 (CVSS 7.5): Una vulnerabilità di negazione di servizio in .NET, causata da una lettura fuori bounds. Un attaccante remoto non autenticato può interrompere i servizi via rete. Microsoft la valuta come ‘sfruttamento improbabile’, ma patcha subito applicazioni .NET esposte su internet.
CVE-2026-26127 (CVSS 8.8): Escalation di privilegi in SQL Server. Un utente autenticato può ottenere privilegi SQLAdmin via rete. ‘Sfruttamento meno probabile’, ma pericolosa per ambienti con accesso ampio: priorita per server SQL di rete.
A differenza del mese scorso con sei zero-day, queste non sono attivamente sfruttate, ma la prudenza è d’obbligo.
Vulnerabilità critiche da monitorare
Microsoft ha affrontato otto vulnerabilità critiche:
- CVE-2026-21536 (CVSS 9.8): Esecuzione codice remoto in Microsoft Devices Pricing Program.
- CVE-2026-26125 (CVSS 8.6): Escalation privilegi in Payment Orchestrator Service.
- CVE-2026-26110 (CVSS 8.4): Esecuzione codice remoto in Microsoft Office.
- CVE-2026-26113 (CVSS 8.4): Esecuzione codice remoto in Microsoft Office.
- CVE-2026-26148 (CVSS 8.1): Escalation privilegi in Azure Entra ID.
- CVE-2026-26144 (CVSS 7.5): Divulgazione informazioni in Microsoft Excel.
- CVE-2026-23651 (CVSS 6.7): Escalation privilegi in Azure Compute Gallery.
- CVE-2026-26124 (CVSS 6.7): Escalation privilegi in Azure Compute Gallery.
Particolarmente preoccupanti le due RCE di Office, attivabili dal pannello di anteprima senza interazione utente. La falla di Excel rischia esfiltrazione dati in ambienti Microsoft 365 Copilot. Alcune, come CVE-2026-21536 e CVE-2026-26125, sono già mitigate lato servizio da Microsoft.
Vulnerabilità ad alto rischio
Altre falle contrassegnate come ‘sfruttamento più probabile’:
- CVE-2026-26132 (CVSS 7.8): Escalation privilegi nel kernel di Windows.
- CVE-2026-24289 (CVSS 7.8): Escalation privilegi nel kernel di Windows.
- CVE-2026-24291 (CVSS 7.8): Escalation privilegi in Windows Accessibility Infrastructure.
- CVE-2026-24294 (CVSS 7.8): Escalation privilegi in Windows SMB Server.
- CVE-2026-25187 (CVSS 7.8): Escalation privilegi in Winlogon.
- CVE-2026-23668 (CVSS 7.0): Escalation privilegi in Microsoft Graphics Component.
Tutte escalazioni locali a privilegi SYSTEM. Ideali per catene di attacco dopo accesso iniziale, specialmente kernel e SMB.
Come applicare gli aggiornamenti in sicurezza
Priorizza questi sistemi:
- Server SQL Server con accesso rete.
- Active Directory Domain Services e Windows Print Spooler.
- Ambienti Azure MCP Server e IoT.
- Endpoint con vulnerabilità kernel, SMB, Winlogon.
- SharePoint e Office per rischi documenti.
- Windows RRAS per VPN.
Usa tool di gestione patch automatizzati. Verifica post-installazione con scanner vulnerabilità per asset esposti. Integra monitoraggio superficie di attacco per rilevare sistemi non patchati.
Approfondimento tecnico
Analisi dettagliata delle zero-day
CVE-2026-26127: In .NET 9.0/10.0 (Windows, macOS, Linux), un out-of-bounds read causa DoS. Vector: rete, complessità bassa, privilegi none. Impatto: alta disponibilità. Mitigazione: update .NET runtime. Testa applicazioni web .NET per resilienza post-patch.
CVE-2026-21262: SQL Server, autenticato remoto guadagna sysadmin. CVSS alto per impatto privilegi. Controlla log SQL per accessi sospetti pre-patch. Configura least-privilege per utenti DB.
Impatti sulle componenti
| Componente | Vulnerabilità principali | Rischio | Priorità |
|---|---|---|---|
| Office | RCE (anteprima), Excel info leak | Alto (zero-click) | Massima |
| Azure | Entra ID, Compute Gallery EoP | Medio-alto | Alta |
| Kernel/SMB | EoP multiple | Alto chaining | Alta |
| SQL Server | Zero-day EoP | Critico rete | Massima |
Miglioramenti non-sicurezza in KB5079473 (Windows 11)
- Targeting certificati Secure Boot esteso per alta affidabilità.
- Affidabilità ricerca Esplora File su multi-unità.
- Gestione WDAC per COM allowlisting in Windows Defender.
- Avvisi fiducia in Windows System Image Manager.
Best practice avanzate
- Automazione patch: Usa WSUS, Intune o SCCM per deployment.
- Testing: Ambiente staging per regressioni, specialmente RRAS/SharePoint.
- Monitoraggio: SIEM per exploit tentativi (es. SMB anomalous traffic).
- ASM: Scansiona asset internet-facing per patch status.
- Zero-trust: Enforce MFA, network segmentation per SQL/Azure.
Statistiche 2026: Oltre 20 EoP kernel già patchate. Trend escalazioni persiste.
Questi update riducono superficie attacco del 55%+ su EoP. Per esperti, consulta note ufficiali Microsoft per CVE full list e workaround. Mantieni sistemi aggiornati per minimizzare esposizioni.
Fonte: https://socradar.io/blog/march-2026-patch-tuesday-zero-day/
