Microsoft ha appena pubblicato il Patch Tuesday di gennaio 2026, un aggiornamento essenziale che risolve 114 vulnerabilità di sicurezza nei sistemi Windows, Office e altri componenti. Tra queste, spiccano tre zero-day, una già sfruttata attivamente, che mettono a rischio la sicurezza dei tuoi dispositivi. La soluzione rapida? Vai su Impostazioni > Aggiornamento e sicurezza > Windows Update e installa immediatamente gli aggiornamenti disponibili. Questo semplice passo proteggerà il tuo PC da attacchi remoti, escalations di privilegi e fughe di dati sensibili, garantendo la sicurezza del tuo lavoro e dei tuoi dati personali.
Questi update sono obbligatori per tutti gli utenti di Windows 11, Windows 10 e Windows Server, coprendo app come Microsoft Office, servizi critici come LSASS e funzionalità di base come Secure Boot. Il volume di correzioni è impressionante: 8 vulnerabilità critiche, 56 escalations di privilegi e 22 esecuzioni remote di codice. Ignorarle potrebbe esporre i tuoi sistemi a exploit pericolosi, ma con un clic sei al sicuro.
Panoramica delle minacce principali
Le vulnerabilità colpite sono varie e colpiscono il cuore del sistema operativo. Ad esempio:
– Esecuzioni remote di codice (RCE) in applicazioni Office come Word, Excel e SharePoint, attivabili semplicemente aprendo un allegato email infetto.
– Escalations di privilegi in servizi come Windows Installer, Kernel, File Explorer e LSASS, che permettono ad un attaccante con accesso limitato di ottenere privilegi amministrativi.
– Fughe di informazioni da componenti come DWM, VBS e TPM, utili per costruire attacchi più sofisticati.
– Altre categorie includono spoofing, denial of service, tampering e bypass di feature di sicurezza.
Tra le più urgenti, le zero-day:
– Una falla nel Desktop Window Manager (DWM) che divulga informazioni sensibili dalla memoria, già sfruttata in attacchi reali.
– Un bypass di Secure Boot dovuto a certificati in scadenza, che rischia di permettere bootkit maliziosi.
– Una vulnerabilità nei driver Agere Soft Modem per escalations di privilegi.
Microsoft classifica molte di queste come Exploitation More Likely, ovvero ad alto rischio di abuso imminente. Gli aggiornamenti cumulativi, come KB5074109 per Windows 11, includono anche rinnovi di certificati e hardening della sicurezza.
Perché aggiornare ora?
Questi patch non sono opzionali: colpiscono componenti esposti come NTFS, SMB Server, Hyper-V e Cloud Files. Un aggressore potrebbe sfruttare RCE in LSASS per rubare credenziali o eseguire codice arbitrario su rete. Per gli utenti domestici, significa protezione da email malevole; per le aziende, salvaguardia di server e dati sensibili. L’installazione è automatica se abilitata, ma verifica manualmente per sicurezza.
Le correzioni toccano anche Azure Connected Machine Agent, Win32k, RRAS e molto altro, rendendo questo Patch Tuesday uno dei più corposi dell’anno. Con 106 vulnerabilità importanti oltre alle 8 critiche, non c’è tempo da perdere.
Technical Deep Dive
Per tecnici e amministratori, ecco un’analisi dettagliata delle vulnerabilità chiave, categorizzate per tipo e impatto. Tutte le CVE sono state patchate negli update cumulativi di gennaio 2026, distribuiti via Windows Update, WSUS o Microsoft Update Catalog.
#### Zero-day critiche
– CVE-2026-20805: Divulgazione di informazioni nel Desktop Window Manager (DWM). Sfruttata attivamente tramite interazioni ALPC sui porti, permette estrazione di dati memoria sensibili con privilegi bassi. Scoperta dal Microsoft Threat Intelligence Center. CVSS alto; aggiunta al catalogo KEV di CISA con deadline 3 febbraio 2026.
– CVE-2026-21265: Bypass di Secure Boot per scadenza certificati UEFI. Colpisce tre certificati Microsoft; non ancora sfruttata ma pubblica. CVSS 6.4, classificata Importante. Rinnovo automatico con i patch.
– CVE-2023-31096 / CVE-2024-55414: Escalation privilegi in driver legacy Agere/Motorola Soft Modem. Permette elevazione a SYSTEM; driver rimossi post-update.
#### RCE critiche (CVSS 8.4+ )
– CVE-2026-20944, CVE-2026-20953, CVE-2026-20955, CVE-2026-20952, CVE-2026-20957: RCE in Word, Office, Excel. Sfruttabili via anteprima documenti Office in email, senza apertura completa.
– CVE-2026-20854: RCE in LSASS use-after-free; aggressore autorizzato esegue codice su rete, alto rischio per autenticazione.
– CVE-2026-20856: RCE in WSUS.
– CVE-2026-20951, CVE-2026-20947, CVE-2026-20963: RCE in SharePoint Server.
– CVE-2026-20840, CVE-2026-20922: RCE in NTFS.
– CVE-2026-20868: RCE in RRAS.
– Altre: Windows Deployment Services, Media, Inbox COM, Azure Core Python library.
#### Escalations di privilegi (56 totali)
Predominanti in:
– Kernel/WIN32K: CVE-2026-20809, CVE-2026-20811, CVE-2026-20920, CVE-2026-20863, CVE-2026-20870.
– VBS Enclave: CVE-2026-20876, CVE-2026-20938.
– Management Services: CVE-2026-20858, CVE-2026-20865, CVE-2026-20918, CVE-2026-20923.
– File Explorer: CVE-2026-20808, CVE-2026-20820.
– Camsvc: CVE-2026-20815, CVE-2026-20835, CVE-2026-20830, CVE-2026-21221.
– SMB Server: CVE-2026-20919, CVE-2026-20921, CVE-2026-20926, CVE-2026-20934.
– Altre: Installer (CVE-2026-20816), Error Reporting (CVE-2026-20817), WinSock (CVE-2026-20810, CVE-2026-20831, CVE-2026-20860), DWM Core (CVE-2026-20842), RRAS (CVE-2026-20843), Kerberos (CVE-2026-20849).
#### Divulgazioni informazioni e altro
– DWM/TWINUI: CVE-2026-20805 (zero-day), CVE-2026-20826, CVE-2026-20827.
– VBS/Kernel: CVE-2026-20819, CVE-2026-20818, CVE-2026-20838.
– File Explorer: CVE-2026-20823, CVE-2026-20932.
– Spoofing: NTLM Hash (CVE-2026-20925, CVE-2026-20872), Explorer (CVE-2026-20847).
– DoS: LSASS (CVE-2026-20875), SMB (CVE-2026-20927).
– Bypass: Secure Boot (zero-day), Remote Assistance (CVE-2026-20824), Excel (CVE-2026-20949).
– Tampering: Hello (CVE-2026-20804, CVE-2026-20852), LDAP (CVE-2026-20812).
Priorità di deployment: Inizia con zero-day e RCE critiche. Usa tool come WSUS, Intune o SCCM per ambienti enterprise. Verifica compatibilità con antivirus/EDR. Post-install, monitora log Event Viewer per ID 11707 (patch riusciti). Per forensics, consulta MSRC per dettagli exploit.
Questi update elevano la resilienza contro catene di exploit ASLR-bypass e privilege escalation. Mantieni ritmo mensile per Patch Tuesday.
