Il primo aggiornamento di sicurezza 2026 rilasciato da Microsoft è senza dubbio uno dei più rilevanti degli ultimi anni: ben 113 vulnerabilità identificate, di cui 8 classificate come critiche e almeno una già sfruttata in attacchi reali. Questo nuovo ciclo di Patch Tuesday interessa l’intero ecosistema Windows e i software correlati, imponendo agli amministratori e agli utenti finali un intervento tempestivo per prevenire rischi di compromissione dei sistemi.
Tra le minacce che destano maggiore preoccupazione spicca il Desktop Window Manager, colpito dalla vulnerabilità CVE 2026 20805. Sebbene il punteggio CVSS associato sia classificato come moderato, la criticità deriva dalla capacità della falla di esporre informazioni sensibili a livello locale. Questa debolezza mina la sicurezza dell’Address Space Layout Randomization, permettendo agli attaccanti di mappare la memoria e orchestrare attacchi più complessi, spesso combinando più exploit per ottenere l’esecuzione di codice remoto.
In risposta a queste minacce, Microsoft ha rilasciato patch considerate urgenti, accompagnate da una raccomandazione chiara: applicare gli aggiornamenti senza indugi. Gli specialisti di sicurezza sottolineano che la sola presenza di una vulnerabilità attivamente sfruttata, come nel caso della CVE 2026 20805, rappresenta un motivo sufficiente per dare la massima priorità alla remediation.
Parallelamente, il pacchetto di aggiornamenti ha risolto due gravi falle di esecuzione remota del codice in Microsoft Office, identificate come CVE 2026 20952 e CVE 2026 20953. Queste vulnerabilità consentivano l’esecuzione arbitraria di codice attraverso la semplice visualizzazione di contenuti malevoli nell’anteprima dei file. L’aggiornamento immediato di Office è dunque imprescindibile per evitare compromissioni veicolate tramite documenti o messaggi costruiti ad arte.
Un’altra azione significativa riguarda la rimozione preventiva di due driver legacy per modem, agrsm64 sys e agrsm sys, sviluppati da un produttore ormai inattivo ma ancora presenti in molte installazioni di Windows. Questi componenti, seppur non oggetto di exploit attivi, rappresentano una superficie d’attacco che potrebbe consentire l’elevazione dei privilegi. La loro eliminazione, pertanto, è una misura di hardening necessaria, soprattutto in ambienti aziendali.
Il caso di Secure Boot
Non meno rilevante è il caso di Secure Boot, il cui aggiornamento diventa cruciale in seguito alla correzione della vulnerabilità CVE-2026-21265 (Security Feature Bypass). La criticità è accentuata dalla prossima scadenza dei certificati Secure Boot, prevista per giugno e ottobre 2026. I dispositivi che non disporranno di certificazioni aggiornate al 2023 rischiano di rimanere esposti a minacce come rootkit e bootkit. È fondamentale, quindi, che gli amministratori verifichino la compatibilità dei sistemi e procedano con l’applicazione delle patch per mantenere integre le protezioni firmware.
Non solo Microsoft: anche Mozilla ha annunciato aggiornamenti per i propri browser, tra cui Firefox 147 e Firefox ESR 140.7, che risolvono 34 vulnerabilità, di cui due (CVE-2026-0891 e CVE-2026-0892) già sospettate di essere state sfruttate in attacchi. L’aggiornamento tempestivo è fortemente consigliato, mentre per Chrome e Edge sono attesi fix a seguito della recente risoluzione di una falla critica in Chrome WebView.
Per chi gestisce sistemi IT, le azioni concrete da mettere in atto sono chiare: pianificare la distribuzione delle patch, monitorare lo stato di Secure Boot e dei certificati firmware, nonché disattivare o proteggere componenti non più supportati come agrsm64 sys e agrsm sys. L’adozione di strumenti centralizzati per la gestione degli aggiornamenti e la realizzazione di test preliminari in ambienti di prova possono accelerare e rendere più sicura la fase di deployment.
Gli esperti ricordano che vulnerabilità con punteggio CVSS moderato, come nel caso del Desktop Window Manager, possono assumere un impatto ben più elevato se sfruttate in concatenazione o in contesti specifici. Per questo motivo, oltre all’applicazione delle patch, sono indispensabili il monitoraggio costante dei log, la limitazione degli accessi locali e il rafforzamento delle configurazioni di sicurezza.
