Il primo Patch Tuesday del 2026 ha visto Microsoft pubblicare un numero record di 112 vulnerabilità correttive. Questo aggiornamento segna un netto incremento rispetto ai 56 bug risolti nel mese di, riflettendo una tendenza annuale di maggiore disclosure durante il mese di gennaio.
Aumento delle vulnerabilità nel settore
Il mese di gennaio è tradizionalmente caratterizzato da un aumento delle disclosure di vulnerabilità. Secondo Jack Bicer, direttore della ricerca sulle vulnerabilità presso Action1, il numero crescente di patch evidenzia la pressione crescente sui team di sicurezza. Nel 2026, le vulnerabilità riportate sono aumentate del 12% rispetto all’anno precedente, continuando una traiettoria preoccupante.
Analisi delle vulnerabilità più critiche
Tra le vulnerabilità più significative incluse nel rilascio, spicca CVE-2026-20805, una vulnerabilità di informazione nel Desktop Window Manager.
Sebbene abbia un punteggio CVSS di solo 5.5, è stata osservata in attacco attivo. Questa vulnerabilità può rivelare un indirizzo di memoria da un port ALPC remoto, potenzialmente superando la protezione fornita dalla Address Space Layout Randomisation (ASLR).
Il direttore della ricerca sulle minacce presso Immersive, Kev Breen, ha spiegato che una volta che un attaccante conosce la posizione del codice in memoria, può combinare questa vulnerabilità con un altro bug di esecuzione del codice, facilitando l’esecuzione di attacchi complessi.
Vulnerabilità di sicurezza emergenti
Un’altra vulnerabilità di interesse è CVE-2026-21265, un bypass delle funzionalità di sicurezza legate alla scadenza dei certificati di avvio sicuro. Sebbene Microsoft la classifichi come importante, la sua divulgazione pubblica richiede attenzione da parte dei team di sicurezza.
Questo bug avvisa riguardo ai certificati in scadenza nel 2026 e richiede azioni per il loro rinnovo.
Implicazioni per i driver di modem
Ulteriori vulnerabilità zero-day riguardano i driver dei modem soft, entrambi con potenziali elevazioni di privilegi. I driver coinvolti, CVE-2026-31096 e CVE-2026-55414, sono stati rimossi dall’aggiornamento cumulativo di gennaio, causando la disabilitazione dell’hardware modem che dipende da essi. Gli amministratori di sistema sono esortati ad agire rapidamente per rimuovere eventuali dipendenze da questi componenti.
Flaws critiche da monitorare
Nel complesso, l’aggiornamento di comprende sei problemi di esecuzione remota di codice e due vulnerabilità di elevazione di privilegi. Le vulnerabilità critiche riguardano Microsoft Excel, Office e il servizio LSASS di Windows, con designazioni specifiche come CVE-2026-20854.
Le vulnerabilità di elevazione di privilegi coinvolgono componenti grafici e di sicurezza basati su virtualizzazione.
Mike Walters, co-fondatore di Action1, ha avvertito che le vulnerabilità legate alla sicurezza della virtualizzazione (VBS) sono particolarmente gravi, poiché compromettono i confini di sicurezza di Windows stesso. Attaccanti con privilegi elevati potrebbero sfruttare queste falle per eludere i controlli di sicurezza e accedere a sistemi ritenuti isolati.
In conclusione, è fondamentale che le organizzazioni rispondano prontamente a queste patch, adottando pratiche di gestione della sicurezza e monitorando le attività sospette, in particolare nei processi legati a VBS.
