Microsoft corregge 120 vulnerabilità nell'aggiornamento di maggio 2026

Il 12 maggio, Microsoft ha rilasciato correzioni per 120 vulnerabilità, in particolare senza rivelare alcun zero-day. Tuttavia, i difensori aziendali devono ancora affrontare una vasta gamma di rischi, inclusi quelli che interessano la gestione dei documenti, l'infrastruttura delle identità, le piattaforme di collaborazione, gli ambienti di virtualizzazione e la rete standard di Windows.

Punti salienti del pacchetto di sicurezza di maggio

L'aggiornamento di Patch Tuesday di maggio 2026 includeva 17 vulnerabilità critiche, 14 delle quali erano difetti di esecuzione di codice remoto (RCE). Le organizzazioni devono agire rapidamente per valutare e distribuire questi aggiornamenti nei loro sistemi. I responsabili delle patch affrontano una sfida critica: determinare quali sistemi aziendali possono adattarsi agli aggiornamenti della prima ondata senza causare interruzioni altrove.

La complessità delle patch aziendali

I team aziendali che gestiscono le patch affrontano un "problema dell'ordine delle patch" multifaccettato, poiché gli aggiornamenti di questo mese coprono vari sistemi, tra cui:

• Endpoint di Office
• Controller di dominio
• Sistemi Windows dipendenti da DNS
• Distribuzioni SharePoint
• Host Hyper-V

Ognuno di questi sistemi è spesso gestito da team diversi, con programmi di patching distinti, procedure di rollback e finestre di manutenzione. Anche quando un singolo rilascio di Microsoft copre tutte queste aree, il coordinamento degli aggiornamenti rimane una sfida operativa.

Confronto con i cicli di patch recenti

Nei mesi precedenti:

• A febbraio sono stati affrontati sei zero-day attivi.
• Ad aprile sono state coinvolte 167 vulnerabilità, incluse due zero-day.

Sebbene maggio 2026 manchi di rivelazioni zero-day, non riduce il carico di lavoro per i difensori. Ogni aggiornamento recente ha richiesto compromessi tra velocità di distribuzione d'emergenza, rischio di interruzioni e tempi di verifica per i sistemi critici, aggiungendo un peso cumulativo di priorità.

Suddivisione delle vulnerabilità di maggio 2026

Il rilascio di maggio da parte di Microsoft includeva quanto segue:

• 31 vulnerabilità di esecuzione di codice remoto
• 61 problemi di escalation dei privilegi (EoP)
• 14 difetti di divulgazione di informazioni
• 8 vulnerabilità di denial-of-service (DoS)
• 6 problemi di bypass delle funzionalità di sicurezza
• 13 vulnerabilità di spoofing

Tra queste, i bug RCE rimangono una priorità poiché consentono agli aggressori di eseguire codice arbitrario, mentre le vulnerabilità EoP aggiungono complessità operativa influendo su permessi, confini amministrativi e transizioni utente-sistema. I team di sicurezza devono convalidare e affrontare queste vulnerabilità prima di passare dai test pilota alla distribuzione su larga scala.

Nessun zero-day a maggio: un evento raro

Maggio 2026 segna il primo aggiornamento mensile di sicurezza di Microsoft in quasi due anni senza vulnerabilità zero-day sfruttate o divulgate pubblicamente. Negli ultimi 22 mesi, Microsoft ha registrato una media di 3,5 zero-day al mese, rendendo questo mese più tranquillo ma non necessariamente meno impegnativo in termini di sforzi di rimedio.

Vulnerabilità di Office: una preoccupazione persistente

Nonostante l'assenza di zero-day, le vulnerabilità relative a Office rimangono un focus importante. Microsoft ha affrontato difetti in Office, Word ed Excel che potrebbero portare a RCE, alcuni dei quali legati a rischi del riquadro di anteprima. Poiché i dipendenti visualizzano frequentemente documenti come fatture, curriculum e file condivisi, queste vulnerabilità richiedono uno sforzo di patching più ampio oltre gli aggiornamenti delle singole applicazioni.

Inoltre, l'aggiornamento di maggio include CVE-2026-35421, una vulnerabilità in Paint in cui l'apertura di un Enhanced Metafile dannoso potrebbe consentire l'esecuzione di codice. I team endpoint devono anche dare priorità a correzioni come CVE-2026-40367, CVE-2026-40366 e CVE-2026-40364, che riguardano laptop, workstation condivise e desktop virtuali.

Rischi a livello di infrastruttura

Diverse vulnerabilità nell'aggiornamento di maggio rappresentano rischi significativi per l'infrastruttura aziendale:

• CVE-2026-41096: una vulnerabilità di overflow del buffer basata su heap nel client DNS di Windows con un punteggio CVSS di 9,8. Questo difetto RCE può essere sfruttato in remoto senza autenticazione o interazione dell'utente, interessando un'ampia gamma di sistemi Windows.
• CVE-2026-41089: un problema critico in Windows Netlogon con un punteggio CVSS di 9,8, che consente agli aggressori non autenticati di eseguire codice in remoto sui controller di dominio. Data la potenziale interruzione dell'autenticazione, la correzione dei controller di dominio richiede particolare cautela per evitare di compromettere l'accesso ai servizi aziendali critici.

Preoccupazioni su SharePoint e Hyper-V

Le vulnerabilità di SharePoint rimangono una preoccupazione per i team di sicurezza aziendali. CVE-2026-40365 espone i server SharePoint ad attacchi RCE, sebbene richieda privilegi di proprietario del sito. Sebbene ciò limiti il numero di aggressori potenziali, i difensori devono valutare l'esposizione degli utenti privilegiati, le pubblicazioni esterne e l'espansione della collaborazione per mitigare i rischi.

Negli ambienti virtualizzati, CVE-2026-40402 in Hyper-V introduce un rischio grave, consentendo agli aggressori di sfuggire da una VM ospite all'ambiente host e ottenere privilegi SYSTEM. Questo tipo di falla nei confini impatta simultaneamente più carichi di lavoro, richiedendo un'attenzione immediata da parte dei team di virtualizzazione.

Impatto operativo dell'aggiornamento di maggio 2026

L'aggiornamento di maggio spinge i team che gestiscono endpoint di Office, sistemi Windows correlati al DNS, controller di dominio, server SharePoint e host Hyper-V verso una finestra di manutenzione unificata. Nonostante l'assenza di zero-day, l'ambito e la complessità delle vulnerabilità di questo mese rendono operativamente impegnativo per le aziende affrontarle.