Cybersicurezza

Microsoft ha corretto 570 vulnerabilità di sicurezza Windows in un mese. L’IA ne ha trovate la maggior parte

Adrian Kessler

L’aggiornamento di sicurezza più grande mai rilasciato da Microsoft è anche il più insolito, perché ciò che lo ha reso così grande è lo stesso strumento che i difensori dovrebbero usare per mettersi in vantaggio rispetto agli attaccanti. Il Patch Tuesday di questo mese ha corretto 570 vulnerabilità di sicurezza in Windows e prodotti correlati, un numero che supera di gran lunga qualsiasi rilascio mensile precedente. Microsoft ha attribuito l’impennata agli strumenti di scoperta delle vulnerabilità assistiti dall’intelligenza artificiale, che hanno scandagliato il suo codebase dall’inizio del 2025.

Le conseguenze pratiche di quella scansione si sono accumulate rapidamente. Nei primi sette mesi del 2026, Microsoft ha corretto 1.308 vulnerabilità — quasi il doppio delle circa 650 affrontate nello stesso periodo dell’anno scorso. Tom Gallagher, vicepresidente dell’ingegneria di Microsoft, aveva avvertito a maggio che i clienti dovessero aspettarsi aggiornamenti mensili più grandi man mano che gli strumenti di IA continuavano a trovare problemi. Il numero di luglio ha confermato le previsioni.

Non tutte le 570 vulnerabilità presentano lo stesso rischio, ma tre sono zero-day: bug noti prima che esistesse una patch. Due di queste tre sono già sfruttate dagli attaccanti. CVE-2026-56164 è un difetto di elevazione dei privilegi in SharePoint Server, che la Cybersecurity and Infrastructure Security Agency statunitense aveva segnalato come sotto attivo sfruttamento prima che la patch di Microsoft arrivasse. CVE-2026-56155 è una simile elevazione dei privilegi in Active Directory Federation Services. Il terzo zero-day è stato divulgato pubblicamente ma non ancora attivamente sfruttato.

Ventisei delle 570 vulnerabilità hanno punteggi di base CVSS superiori a 9.0 su una scala di gravità di 10 punti, e 13 di esse si attestano a 9.8. Una si distingue per nome: CVE-2026-48561 è un difetto di esecuzione di codice in remoto in Microsoft Copilot che ha ottenuto 9.6, il che significa che un attaccante remoto potrebbe potenzialmente eseguire codice arbitrario su un sistema interessato senza interazione dell’utente. Microsoft descrive la sfruttabilità come “più probabile”.

Il caveat nella storia della scoperta assistita dall’IA è che trovare bug più velocemente non significa correggerli più velocemente o in modo più sicuro. Un aggiornamento mensile di queste dimensioni comporta un proprio rischio: pacchetti di patch più grandi richiedono più tempo di test, aumentano la possibilità di regressioni di compatibilità e richiedono più risorse IT per essere distribuiti in ambienti aziendali. Le organizzazioni che hanno automatizzato l’implementazione delle patch attorno a una cadenza mensile prevedibile stanno ora gestendo un carico considerevolmente più pesante.

La leadership di Microsoft per Windows ha indicato che la tendenza non dovrebbe invertirsi. Man mano che gli strumenti di scansione IA migliorano e vengono applicati a livelli più vecchi del codebase, si prevede che il numero di vulnerabilità legacy scoperte di recente rimanga elevato per il futuro prevedibile. La cronologia degli aggiornamenti per il 2026 suggerisce che l’azienda stessa lo aveva anticipato: ha gradualmente ampliato la revisione del codice assistita dall’IA dalla fine del 2024, ben prima dell’accelerazione pubblica nei conteggi delle patch.

La patch di luglio 2026 è disponibile tramite Windows Update. Per gli ambienti aziendali, Microsoft ha dato priorità ai due zero-day attivamente sfruttati e alla RCE di Copilot come le correzioni più urgenti. Le organizzazioni che eseguono distribuzioni non aggiornate di SharePoint o AD Federation Services dovrebbero trattare questi aggiornamenti come priorità assoluta indipendentemente dal loro programma di patch standard.

Tag: , , , , ,

Discussione

Ci sono 0 commenti.