Impatto Sistemico

Critico (77.94)

Sintesi

Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 58 nuove vulnerabilità, 6 di tipo 0-day.

Tipologia

• Denial of Service
• Elevation of Privilege
• Information Disclosure
• Remote Code Execution
• Security Feature Bypass
• Spoofing

Descrizione e potenziali impatti

Nel dettaglio le vulnerabilità sfruttate attivamente e/o per alcune delle quali risulta disponibile in rete anche un “proof of concept”, riguardano:

• Desktop Window Manager : identificata tramite la CVE-2026-21519, di tipo “Elevation of Privilege” e con score CVSS v3.1 pari a 7.8. Tale vulnerabilità interessa la componente DWM dei sistemi operativi Microsoft Windows, ed è dovuta da un errore di tipo “ Type Confusion “ nella gestione degli oggetti in memoria. Nel dettaglio, un attaccante locale autenticato, potrebbe sfruttare tale incongruenza per compromettere lo stato della memoria ed elevare i propri privilegi fino al livello SYSTEM sui sistemi target.
• Windows Remote Desktop : identificata tramite la CVE-2026-21533, di tipo “Elevation of Privilege” e con score CVSS v3.1 pari a 7.8. Tale vulnerabilità interessa il servizio di desktop remoto ed è causata da una non adeguata gestione dei privilegi. Nel dettaglio un attaccante, locale autenticato, potrebbe modificare la configurazione del servizio e ottenere privilegi di livello SYSTEM sugli host interessati, anche al fine di aggiungere nuove utenze al gruppo Administrator.
• MSHTML Framework : identificata tramite la CVE-2026-21513, di tipo “Security Feature Bypass” e con score CVSS v3.1 pari a 8.8. Tale vulnerabilità interessa il motore di rendering MSHTML (Trident), utilizzato da Internet Explorer e da diverse applicazioni Windows per interpretare i contenuti web. Tale vulnerabilità, presente nel meccanismo di protezione (Protection Mechanism Failure), è dovuta da un errata gestione di specifici tipi di file. Nel dettaglio un attaccante, remoto non autenticato, potrebbe indurre un utente ad aprire un file HTML o un collegamento (.lnk) opportunamente predisposto; lo sfruttamento permette di aggirare gli avvisi di sicurezza del sistema operativo (come i prompt di download o SmartScreen) al fine di eseguire codice malevolo sui dispositivi target.
• Windows Shell : identificata tramite la CVE-2026-21510, di tipo “Security Feature Bypass” e con score CVSS v3.1 pari a 8.8. Tale vulnerabilità è dovuta da un errore nella convalida dei file di collegamento (.lnk). Nel dettaglio un attaccante, remoto non autenticato, potrebbe indurre un utente ad aprire un file malevolo opportunamente predisposto; lo sfruttamento permette di aggirare i controlli di sicurezza del sistema (come Windows SmartScreen) al fine di eseguire codice arbitrario sui dispositivi target.
• Microsoft Word : identificata tramite la CVE-2026-21514, di tipo “Security Feature Bypass” e con score CVSS v3.1 pari a 7.8. Tale vulnerabilità interessa l’applicazione Microsoft Word ed è causata da un difetto logico di tipo “Reliance on Untrusted Inputs in a Security Decision”. Nel dettaglio, un attaccante potrebbe indurre un utente ad aprire un file Office opportunamente predisposto; lo sfruttamento permette di aggirare specifiche funzionalità di sicurezza (come le mitigazioni OLE) sul sistema target, facilitando eventuali fasi di attacco successive.
• Windows Remote Access Connection Manager : identificata tramite la CVE-2026-21525, di tipo “Denial of Service” e con score CVSS v3.1 pari a 6.2. Tale vulnerabilità interessa il servizio RasMan ed è causata da un errore di tipo “Null Pointer Dereference”. Nel dettaglio un attaccante, locale non privilegiato, potrebbe sfruttare questa falla per provocare un arresto anomalo del servizio, causando un’interruzione della disponibilità dello stesso sul sistema interessato.

Prodotti e versioni affette

• Azure Arc
• Azure Compute Gallery
• Azure DevOps Server
• Azure Front Door (AFD)
• Azure Function
• Azure HDInsights
• Azure IoT SDK
• Azure Local
• Azure SDK
• Desktop Window Manager
• GitHub Copilot and Visual Studio
• GitHub Copilot and Visual Studio Code
• Github Copilot
• MSHTML Framework
• Mailslot File System
• Microsoft Defender for Linux
• Microsoft Edge for Android
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Office Word
• Power BI
• Role: Windows Hyper-V
• Windows Ancillary Function Driver for WinSock
• Windows App for Mac
• Windows Cluster Client Failover
• Windows Connected Devices Platform Service
• Windows GDI+
• Windows HTTP.sys
• Windows Kernel
• Windows LDAP – Lightweight Directory Access Protocol
• Windows NTLM
• Windows Notepad App
• Windows Remote Access Connection Manager
• Windows Remote Desktop
• Windows Shell
• Windows Storage
• Windows Subsystem for Linux

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di procedere all’aggiornamento dei prodotti impattati attraverso l’apposita funzione di Windows Update.