Regalo di San Valentino di Microsoft agli amministratori: corretti 6 zero-day sfruttati

Regalo di San Valentino di Microsoft agli amministratori: corretti 6 zero-day sfruttati

Regalo di San Valentino di Microsoft agli amministratori: corretti 6 zero-day sfruttati

Microsoft ha appena rilasciato gli aggiornamenti di sicurezza di febbraio 2026, correggendo 6 vulnerabilità zero-day già sfruttate attivamente. Se siete amministratori di sistema o utenti Windows, la soluzione immediata è semplice: installate le patch il prima possibile tramite Windows Update per proteggere i vostri dispositivi da attacchi reali in corso. Questo Patch Tuesday include correzioni per circa 58-59 falle totali, con enfasi su bypass di sicurezza, elevazioni di privilegio e altro, rendendo l’aggiornamento urgente per tutti.

Questi zero-day rappresentano un rischio concreto perché erano già noti e sfruttati prima della disponibilità delle patch. Tre di essi sono stati anche divulgati pubblicamente, aumentando la probabilità di exploit diffusi. Non perdete tempo: controllate gli aggiornamenti ora e applicateli, specialmente su Windows, Office e componenti cloud come Azure.

Dettagli sulle vulnerabilità principali

Microsoft non ha rivelato chi siano gli attaccanti né l’estensione degli sfruttamenti, ma la gravità è chiara. Rispetto al mese precedente, dove c’era solo una vulnerabilità sotto attacco, questo mese segna un balzo preoccupante. Ecco un riassunto delle falle più critiche:

  • Bypass delle feature di sicurezza di Windows Shell (CVE-2026-21510): Con un punteggio CVSS di 8.8, richiede che l’utente apra un link o file shortcut malevolo. L’attaccante aggira Windows SmartScreen e i prompt di sicurezza, eseguendo codice senza avvisi.
  • Bypass delle feature di sicurezza di Internet Explorer (CVE-2026-21513): Altro 8.8 CVSS, porta a esecuzione remota di codice (RCE). Basta convincere l’utente ad aprire un file HTML o .lnk malevolo.
  • Bypass delle feature di sicurezza di Microsoft Word (CVE-2026-21514): CVSS 7.8, sfruttabile aprendo un file Office malevolo, abusando di controlli COM e OLE per RCE.
  • Elevazione di privilegio nel Desktop Window Manager (CVE-2026-21519): CVSS 7.8, permette di ottenere privilegi SYSTEM. Non divulgata prima, ma sospetta di essere legata a fix precedenti incompleti.
  • Denial of service nel Windows Remote Access Connection Manager (CVE-2026-21525): CVSS 6.2, causato da dereferenziazione di puntatore nullo, bloccando servizi localmente.
  • Elevazione di privilegio nei Windows Remote Desktop Services (CVE-2026-21533): CVSS 7.8, dovut a gestione errata dei privilegi, porta a codice SYSTEM.

Queste vulnerabilità colpiscono componenti chiave come Windows (client e server), Office, Microsoft 365, Azure, .NET e persino Internet Explorer, nonostante il suo supporto terminato nel 2022. L’aggiornamento include anche nuovi certificati Secure Boot per sostituire quelli del 2011 in scadenza a giugno 2026.

Gli esperti consigliano di testare e deployare rapidamente, specialmente per quelle marcate come “exploitation detected”. In contesti enterprise, priorizzate i sistemi esposti come endpoint ibridi e servizi cloud.

Approfondimento tecnico (Technical Deep Dive)

Per tecnici e amministratori, ecco un’analisi dettagliata delle CVE zero-day, con meccanismi di exploit, CVSS e raccomandazioni di mitigazione avanzate. Questa sezione fornisce insights per una gestione proattiva del rischio.

CVE-2026-21510: Windows Shell Security Feature Bypass

Flaw nel processamento di file shortcut (.lnk) o link malevoli all’interno di Windows Shell. L’attaccante manipola il rendering per sopprimere i dialoghi di SmartScreen, permettendo l’esecuzione di payload senza interazione. CVSS: 8.8 (High) – Attacco vettorizzato via social engineering (low complexity, no privileges required). Mitigazione: Disabilitate l’esecuzione automatica di shortcut da fonti non fidate via Group Policy (Computer Configuration > Administrative Templates > Windows Components > Windows Explorer > “Non mostrare estensioni per file noti”). Monitorate log ETW per accessi sospetti a shell32.dll.

CVE-2026-21513: Internet Explorer Security Feature Bypass

Exploit nel framework MSHTML: file HTML crafted manipola il parsing tra browser e Shell, bypassando protezioni per RCE diretta dal sistema operativo. CVSS: 8.8 – Privilegi bassi, impatto alto su confidenzialità/integrità/disponibilità. Poiché IE è deprecato, controllate registry per istanze residue (HKLM\SOFTWARE\Microsoft\Internet Explorer). Raccomandazione: Applicare Enhanced Security Configuration (ESC) e forzare migrazione a Edge.

CVE-2026-21514: Microsoft Word Security Feature Bypass

Abuso di OLE/COM controls in documenti Office, bypassando Protected View. Non vulnerabile via Preview Pane. CVSS: 7.8 – Locale, ma chainable con spear-phishing. Protezioni: Abilitate Attack Surface Reduction (ASR) rules in Defender (Block abuse of Office applications). Analisi: Dump di documenti sospetti con Oletools per rilevare payload OLE.

CVE-2026-21519: Desktop Window Manager (DWM) Elevation of Privilege

Seconda EoP in DWM in fila; sospetto fix incompleto da gennaio. Escalation a SYSTEM via gestione errata di finestre. CVSS: 7.8. Test: Verificate con ProcMon accessi a dwm.exe. Mitigazione: Limitate privilegi su sessioni DWM via AppLocker.

CVE-2026-21525: Remote Access Connection Manager DoS

Null pointer dereference causa crash del servizio. CVSS: 6.2 – Locale, non privilegiato. Impatto: Interruzione RAS. Monitoraggio: Event ID 1000/1001 in System logs per RasMan.dll.

CVE-2026-21533: Remote Desktop Services EoP

Gestione privilegi impropria permette escalation locale a SYSTEM. CVSS: 7.8. Chainable con altri zero-day per dominio takeover. Crediti a CrowdStrike. Mitigazione: Restriggete RDP a Just-In-Time access via Azure AD o RD Gateway con MFA.

Statistiche generali Patch Tuesday febbraio 2026: 58-59 CVE totali, 5 Critical, dominano EoP (23), RCE (11), Bypass (Security Feature). CISA ha aggiunto tutte e 6 le zero-day al KEV catalog, richiedendo fix federali entro marzo 2026. In enterprise, usate WSUS per deployment staged: patch high-risk in 1-2 settimane.

Per una valutazione completa, integrate threat intel da fonti multiple. Testate in lab con tool come Atomic Red Team per simulare chain di exploit. Ricordate: questi zero-day indicano trend di attaccanti proattivi; patching tempestivo riduce superficie di attacco del 90%+.

(Parole totali: circa 1050)

Fonte: https://go.theregister.com/feed/www.theregister.com/2026/02/10/microsofts_valentines_gift_to_admins/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto