Microsoft ha appena pubblicato il primo aggiornamento di sicurezza del 2026, correggendo 114 vulnerabilità in Windows, di cui una già sfruttata attivamente da attaccanti. Questo Patch Tuesday è essenziale: installa l’aggiornamento immediatamente tramite Windows Update per proteggere il tuo PC da rischi gravi come escalation di privilegi e esecuzione di codice remoto.
L’aggiornamento mensile di sicurezza, noto come Patch Tuesday, arriva in un momento critico, con un numero elevato di falle risolte. Tra queste, otto sono classificate come critiche e 106 come importanti. La maggior parte riguarda escalation di privilegi (58 casi), seguite da divulgazione di informazioni (22), esecuzione remota di codice (21) e spoofing (5). Si tratta del terzo Patch Tuesday di gennaio più grande mai registrato, superando solo quelli del 2025 e 2022.
Perché aggiornare ora? Senza questi fix, il tuo sistema potrebbe essere esposto a exploit che permettono agli attaccanti di ottenere privilegi elevati o rubare dati sensibili. Vai su Impostazioni > Aggiornamento e sicurezza > Windows Update e clicca ‘Verifica disponibilità aggiornamenti’. Il processo è semplice e richiede un riavvio breve.
Oltre a Windows, Microsoft ha corretto due vulnerabilità in Edge: una di spoofing nell’app Android e un problema di enforcement delle policy in WebView Chromium. Inoltre, sono stati rimossi driver modem Agere obsoleti (‘agrsm64.sys’ e ‘agrsm.sys’), vulnerabili a escalation di privilegi note da due anni, e un altro driver (‘ltmdm64.sys’) già rimosso in precedenza per motivi simili.
Le agenzie federali USA sono obbligate ad applicare le patch entro febbraio, segno della gravità del problema. Questo aggiornamento include anche preparativi per la scadenza dei certificati Secure Boot nel giugno 2026, con raccomandazioni per passare alle versioni 2023.
Approfondimento tecnico
Queste correzioni non sono solo routine: colpiscono componenti core di Windows come kernel, driver NTFS, CLFS, WinSock, Win32K e Desktop Window Manager (DWM). DWM, responsabile del rendering grafico, è un target allettante per la sua posizione privilegiata e accessibilità universale.
La vulnerabilità sfruttata attivamente: CVE-2026-20805
Questa falla di divulgazione di informazioni (CVSS 5.5) nel DWM espone indirizzi di memoria da porte ALPC remote in user-mode. Un attaccante autenticato localmente può usarla per sconfiggere ASLR (Address Space Layout Randomization), facilitando exploit chain con falle di esecuzione codice. Non ci sono dettagli pubblici su metodi di sfruttamento o attori coinvolti, ma è stata aggiunta al catalogo KEV di CISA. Microsoft l’ha scoperta tramite MTIC e MSRC. Ricorda CVE-2024-30051, un altro zero-day DWM del 2024 abusato per distribuire malware come QakBot.
DWM è un ‘frequent flyer’ nelle patch: 20 CVE risolte dal 2022. Esperti notano che rivela sezioni di memoria usate per coordinare azioni tra componenti Windows, rendendo attacchi più affidabili.
Altre falle critiche
– CVE-2026-21265 (CVSS 6.4): Bypass di funzionalità Secure Boot per scadenza certificati. Colpisce meccanismi che verificano firmware trusted, permettendo malware al boot. Microsoft scadrà certificati 2011 (KEK CA, Production PCA, UEFI CA) a giugno-ottobre 2026; migra a versioni 2023 per evitare interruzioni boot su dispositivi personali e aziendali.
– CVE-2026-20876 (CVSS 6.7): Escalation privilegi in Windows VBS Enclave, concedendo VTL2 (Virtual Trust Level 2). Rompe barriere di sicurezza virtualization-based, permettendo persistenza profonda e evasione detection. Richiede privilegi alti ma impatta severamente difese avanzate.
Priorità patching: entro 72 ore per CVE-2026-20805 e ‘Exploitation More Likely’ come CVE-2026-20816 (Windows Installer); 1-2 settimane per filesystem/driver, Office e server (SQL Server, WSUS).
Impatti su componenti specifici
– Filesystem e storage: Multiple EoP in NTFS/CLFS, base per chain exploit.
– Remoto e connettività: RRAS e servizi simili.
– Office: SharePoint, Excel/Word handling per RCE.
Per Windows 10 ESU (Build 19044.6809/19045.6809, KB5073724), fix includono targeting certificati Secure Boot e update WinSqlite3.dll. Supporto termina ottobre 2025; migra a Windows 11.
Hotpatch per Server 2025 evita riavvii. Immagini client disponibili (es. Windows 10 Enterprise 21H2).
Patch da altri vendor
Parallelamente, aggiornamenti da: ABB, Adobe, AWS, AMD, Arm, ASUS, Broadcom/VMware, Cisco, ConnectWise, Dassault, D-Link, Dell, Devolutions, Drupal, Elastic, F5, Fortinet, Fortra, Foxit, Fujifilm, Gigabyte, GitLab, Google (Android/Pixel/Chrome/Cloud), Grafana, Hikvision, HP/HPE (Aruba/Juniper), IBM, Imagination, Lenovo, distro Linux (AlmaLinux, Alpine, etc.), MediaTek, Mitel, Mitsubishi, MongoDB, Moxa, Mozilla (Firefox/ESR), n8n, Netgear, Node.js, NVIDIA, ownCloud, QNAP, Qualcomm, Ricoh, Samsung, SAP, Schneider, ServiceNow, Siemens, SolarWinds, SonicWall, Sophos, Spring Framework, Synology, TP-Link, Trend Micro, Veeam.
In sintesi per esperti: Testa in ambienti staging, monitora log post-patch. Usa tool come WSUS per deployment. Prioritizza DWM e VBS per minacciare catene avanzate.
Fonte: https://thehackernews.com/2026/01/microsoft-fixes-114-windows-flaws-in.html
