Il Patch Tuesday di aprile 2026 è, per ammissione degli stessi analisti del settore, uno degli aggiornamenti mensili più rilevanti che Microsoft abbia mai rilasciato: Dustin Childs dello Zero Day Initiative lo ha definito il secondo Patch Tuesday più grande della storia di Microsoft, superato soltanto dal ciclo di ottobre 2025 con 175 vulnerabilità corrette.

In totale, il pacchetto di aprile 2026 copre 165 CVE con 8 classificate come Critical e 154 come Important.

Due di queste vulnerabilità sono zero-day nel senso più stretto del termine: una era già sfruttata attivamente in rete prima del rilascio della patch; l’altra era già nota pubblicamente con codice exploit disponibile su GitHub. Un contesto che impone ai responsabili IT e ai CISO di trattare questo aggiornamento come un’emergenza operativa, non come una routine mensile.

Microsoft stessa ha confermato a The Register che il volume eccezionale riflette in parte l’aumento delle scoperte da parte di strumenti di ricerca automatizzata basati su intelligenza artificiale: “non si tratta di un aumento significativo di scoperte guidate dall’AI, anche se abbiamo attribuito una vulnerabilità a un ricercatore di Anthropic che usava Claude”. Una dichiarazione che, paradossalmente, conferma la direzione del settore.

I dettagli della zero-day in SharePoint già sotto attacco

La vulnerabilità che richiede attenzione immediata è la CVE-2026-32201, una falla di spoofing in Microsoft SharePoint Server nelle versioni 2016, 2019 e Subscription Edition causata da una validazione insufficiente dell’input. Microsoft ha confermato che al momento del rilascio della patch questa falla era già attivamente sfruttata in attacchi reali.

Il punteggio CVSS di 6.5 può sembrare moderato, ma non deve trarre in inganno in quanto lo sfruttamento di questa falla potrebbe consentire agli attaccanti di manipolare il modo in cui le informazioni vengono presentate agli utenti, inducendoli a fidarsi di contenuti malevoli.

In termini pratici, un attaccante non autenticato può raggiungere SharePoint attraverso la rete e falsificare contenuti, portali, documenti o interfacce utente aprendo la strada a campagne di phishing avanzate, manipolazione non autorizzata dei dati e attacchi di social engineering mirati.

Inoltre, questa vulnerabilità ha anche un altro importante precedente: l’ultima vulnerabilità di spoofing su SharePoint Server sfruttata come zero-day è stata la CVE-2025-49706 del luglio 2025, parte della catena di exploit ToolShell utilizzata da gruppi ransomware e di cyber spionaggio.

La storia, dunque, si ripete e il valore di SharePoint come vettore d’attacco verso l’infrastruttura Enterprise rimane invariato.

BlueHammer: quando un ricercatore arrabbiato diventa un rischio cyber

La seconda vulnerabilità zero-day di questo mese è la CVE-2026-33825, un’escalation di privilegi in Microsoft Defender con punteggio CVSS 7.8. Ma la storia dietro questa CVE è almeno altrettanto importante del dato tecnico.

La storia di BlueHammer

Lo scorso 2 aprile 2026, un ricercatore di sicurezza che opera con lo pseudonimo “Chaotic Eclipse” ha pubblicato su GitHub il codice exploit di una vulnerabilità in Microsoft Defender, battezzandola BlueHammer.

La decisione e il tono della comunicazione pubblica, con riferimenti a un accordo violato e a una situazione personale difficile, lasciavano trasparire una profonda frustrazione con il processo di divulgazione responsabile (responsible disclosure) di Microsoft.

La vulnerabilità sfrutta una race condition TOCTOU (time-of-check to time-of-use) combinata con una path confusion nel meccanismo di aggiornamento delle firme di Defender.

L’obiettivo della catena di exploit è sofisticato: forzare Microsoft Defender a creare un nuovo Volume Shadow Copy, mettere in pausa Defender nel momento preciso; quindi, accedere ai file degli hive del registro di sistema da quello snapshot prima che Defender possa ripulire.

Questo consente di estrarre e decifrare gli hash delle password NTLM degli account locali, scalare i privilegi a livello SYSTEM e, paradossalmente, usare il software di sicurezza come strumento per compromettere il sistema che protegge.

Will Dormann di Tharros ha confermato che l’exploit funziona, precisando che si tratta di una Local Privilege Escalation (LPE): richiede l’accesso locale al sistema, quindi non è sfruttabile da remoto. Tuttavia, gli attaccanti sono abituati a ottenere accesso locale attraverso phishing, furto di credenziali o altre vulnerabilità, rendendo quindi questo tipo di falla un anello critico nelle catene d’attacco post-exploitation, specialmente per i gruppi ransomware.

Microsoft ha corretto il problema mediante un aggiornamento automatico della piattaforma Defender alla versione 4.18.26050.3011.

La buona notizia è che Defender si aggiorna automaticamente e non richiede il riavvio del sistema. La cattiva notizia è che l’exploit era disponibile pubblicamente per oltre dieci giorni prima che arrivasse il fix: un arco di tempo sufficiente, secondo i ricercatori, perché i gruppi APT e i ransomware operator sviluppassero proprie varianti.

Le altre vulnerabilità Critical da non sottovalutare

In occasione del rilascio del Patch Tuesday di aprile 2026, Microsoft è intervenuta su altre tre importanti vulnerabilità. Ecco tutti i dettagli.

CVE-2026-33824, Windows IKE Service RCE (CVSS 9.8)

È la vulnerabilità con il punteggio CVSS più alto del mese: 9.8 su 10, classificata come critica, senza autenticazione richiesta e con bassa complessità di attacco.

Il problema di sicurezza risiede nel servizio Windows Internet Key Exchange (IKE) v2 e consente a un attaccante di eseguire codice remoto inviando semplicemente pacchetti appositamente costruiti a qualsiasi sistema Windows con IKE v2 abilitato, senza che l’utente faccia nulla e senza che l’attaccante disponga di alcun privilegio.

I sistemi interessati includono Windows Server 2025, 2022, 2019 e 2016 (anche in installazione Server Core), nonché specifiche versioni desktop di Windows 10 e 11 per architetture x64, 32-bit e ARM.

Le organizzazioni che non possono applicare immediatamente la patch hanno a disposizione due mitigazioni temporanee: bloccare il traffico in entrata sulle porte UDP 500 e 4500 per i sistemi che non usano IKE; oppure configurare regole firewall per consentire traffico sulle stesse porte solo da indirizzi peer noti, per chi invece usa IKE.

CVE-2026-33826, Windows Active Directory RCE (CVSS 8.0)

Classificata come critica con valutazione “Exploitation More Likely”, questa vulnerabilità colpisce Active Directory attraverso una validazione impropria dell’input nelle chiamate RPC.

Un attaccante autenticato può inviare una chiamata RPC appositamente costruita e ottenere esecuzione di codice con gli stessi permessi del processo RPC host.

Come ha sottolineato Jack Bicer di Action1, “una volta sfruttata, questa vulnerabilità può accelerare l’escalation di privilegi e abilitare il takeover completo del dominio, minando i confini di fiducia Enterprise“.

CVE-2026-33827, Windows TCP/IP RCE (wormable su IPv6/IPsec)

Zero Day Initiative ha classificato questa vulnerabilità come wormable su sistemi che usano IPv6 con IPsec abilitato: significa che un exploit riuscito potrebbe propagarsi autonomamente da un sistema all’altro senza intervento umano, sulla falsariga di WannaCry.

La race condition alla base del bug rende lo sfruttamento più complesso, ma non è un motivo sufficiente per ritardare il patching.

Tre considerazioni finali per i CISO

Il nuovo Patch Tuesday di Microsoft, relativo al mese di aprile 2026, è l’occasione per fare alcune utili considerazioni:

1. Il volume record non è un’anomalia: è la nuova normalità. L’aumento delle scoperte automatizzate tramite AI sta comprimendo il ciclo di vita delle vulnerabilità su entrambi i fronti: chi difende trova di più e più in fretta, ma anche chi attacca ha accesso agli stessi strumenti. La risposta non può essere solo velocizzare il patching: occorre ripensare l’architettura di resilienza, partendo dalla segmentazione e dalla riduzione della superficie esposta.
2. BlueHammer è un avvertimento sul rapporto con la ricerca indipendente. Il caso di Chaotic Eclipse non è isolato. I processi di divulgazione responsabile sono spesso percepiti dai ricercatori indipendenti come burocratici, lenti e poco trasparenti. Quando il rapporto si rompe, il risultato è codice exploit pubblico senza patch: esattamente lo scenario peggiore per chi deve difendere i sistemi. Le organizzazioni che dipendono da software Microsoft (e non solo) hanno tutto l’interesse a sostenere politicamente un miglioramento di questi processi.

Dunque, il Patch Tuesday è l’occasione giusta per rivalutare il modello operativo di patch management. Se l’organizzazione non ha ancora adottato un processo di continuous patching con finestre di emergenza definite per le vulnerabilità con sfruttamento attivo, il momento di farlo è adesso.

Teniamo i nostri sistemi sempre aggiornati

Dunque, se il patch management diventa una misura di cyber difesa strategica per le aziende, significa che non basta più semplicemente “correre ai ripari”: quando una zero-day con codice exploit già pubblico è coinvolta, il tempo diventa un fattore decisivo.

In un contesto di attacchi sempre più veloci e mirati, la capacità delle aziende di ridurre la finestra di esposizione tra la pubblicazione delle patch e la loro applicazione diventa un fattore critico per la resilienza informatica.

Installiamo gli aggiornamenti Microsoft

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo.

Quando un aggiornamento è disponibile, viene scaricato e segnalato all’utente che così può installarlo per mantenere il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 11 è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Il consiglio è quello di eseguire un backup del sistema o, quantomeno, dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.

Ulteriori dettagli sul pacchetto cumulativo di aggiornamenti per questo mese sono disponibili sulla pagina ufficiale Microsoft.