Microsoft

Patch Tuesday Giugno 2026: record di 208 CVE, 6 zero-day e una falla kernel wormable con CVSS 9.8

Dario Fadda Giugno 12, 2026

Il Patch Tuesday di giugno 2026 ha stabilito un nuovo record assoluto: Microsoft ha rilasciato aggiornamenti di sicurezza per ben 208 CVE, superando il precedente record e portando con sé 6 zero-day, di cui uno attivamente sfruttato in attacchi reali. Per i sistemisti, questo ciclo di patch è tra i più critici dell’anno: ci sono falle wormable nel kernel, bypass multipli di BitLocker, RCE su Hyper-V, AKS e DHCP, e una vulnerabilità Exchange già sfruttata in produzione.

Il quadro generale

Delle 208 vulnerabilità corrette, 33 sono classificate Critical. La distribuzione per tipologia:

  • 65 Elevation of Privilege
  • 55 Remote Code Execution
  • 30 Information Disclosure
  • 27 Spoofing
  • 19 Security Feature Bypass
  • 7 Denial of Service

Il conteggio esclude le 360 CVE ereditate da Chromium/Edge e le falle in servizi cloud come Exchange Online e Microsoft Graph, già patchate in precedenza nel mese.

I sei zero-day

CVE-2026-42897 — Exchange Server Spoofing (attivamente sfruttata)

L’unica zero-day già in uso attivo. Un attaccante invia una email costruita ad hoc: se la vittima la apre in Outlook Web Access, viene eseguito JavaScript arbitrario nel browser. Microsoft ha distribuito mitigazioni tramite il servizio Exchange Emergency Mitigation (EEMS). Verificare che EEMS sia abilitato di default; la patch completa è in lavorazione. Azione immediata richiesta.

CVE-2026-45586 — Windows CTFMON GreenPlasma (EoP)

Divulgata da Nightmare Eclipse, permette di ottenere un shell SYSTEM sfruttando una link following errata nel Windows Collaborative Translation Framework. Prima di una serie di zero-day rilasciate dallo stesso ricercatore in protesta contro il bug bounty Microsoft.

CVE-2026-45585 — BitLocker YellowKey (Security Feature Bypass)

Con accesso fisico al dispositivo, un attaccante inserisce file costruiti su USB o partizione EFI e, avviando in WinRE tenendo CTRL, ottiene accesso illimitato al disco cifrato. Colpisce sistemi con BitLocker in modalità TPM-only. Mitigazione: abilitare TPM+PIN.

CVE-2026-50507 — BitLocker bitskrieg (Security Feature Bypass)

Secondo bypass BitLocker, divulgato da Jonas Lykkegaard. La patch potrebbe causare l’errore “A required file couldn’t be accessed because your BitLocker key wasn’t loaded correctly”. Il fix:

reagentc /disable
reagentc /enable

CVE-2020-17103 — Cloud Files Mini Filter Driver Mini-Plasma (EoP)

CVE originariamente del 2020, segnalata da James Forshaw (Google Project Zero). Sembrava già corretta nel dicembre 2020, ma Nightmare Eclipse ha dimostrato che la vulnerabilità era ancora sfruttabile. L’update di giugno 2026 la chiude definitivamente.

CVE-2026-49160 — HTTP/2 Bomb DoS su HTTP.sys

Abusa della compressione degli header HTTP/2 per forzare il server ad allocare quantità sproporzionate di memoria con pochissimi dati in ingresso. Microsoft ha introdotto la chiave di registro MaxHeadersCount per limitare il numero di header accettati (KB5102602):

; HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
; DWORD: MaxHeadersCount = 100

Le CVE Critical più rilevanti per l’infrastruttura

CVE-2026-45657 — Windows Kernel RCE (CVSS 9.8, wormable)

È la vulnerabilità che preoccupa di più. Una use-after-free nel kernel legata all’elaborazione del traffico TCP/IP permette a un attaccante non autenticato di eseguire codice da remoto, senza interazione utente. Il vettore CVSS (AV:N/AC:L/PR:N/UI:N) e la classificazione wormable significa che un exploit funzionante potrebbe autopropag arsi tra macchine sulla stessa rete. Sistemi colpiti: Windows 11 (23H2, 24H2, 25H2, 26H1) e Windows Server 2022/2025 incluso Server Core. I ricercatori stimano la finestra per un exploit pubblico in giorni, non settimane. Priorità assoluta.

CVE-2026-32193 — Azure Kubernetes Service Container Escape (Critical)

Path traversal in AKS che permette a un container configurato con hostNetwork: true di evadere il container e ottenere il controllo del worker node. Chi gestisce cluster AKS deve verificare aggiornamenti disponibili:

az aks upgrade --resource-group myRG --name myCluster --kubernetes-version latest

CVE-2026-44815 — DHCP Client Service RCE (Critical)

RCE nel client DHCP di Windows, sfruttabile da un attaccante che controlla un server DHCP malevolo in rete. Rischio elevato in ambienti con BYOD o reti ospiti non segregate.

CVE-2026-45641 / CVE-2026-47652 — Hyper-V RCE (Critical)

Due falle di esecuzione di codice in Hyper-V. Su hypervisor il patching è prioritario: una compromissione può portare all’escape delle VM e alla compromissione dell’host.

CVE-2026-45648 — Active Directory Domain Services RCE (Critical)

RCE nei Domain Controller. Qualunque falla RCE su DC va trattata con la massima urgenza: una compromissione equivale a quella dell’intero dominio.

CVE-2026-47291 — HTTP.sys RCE (Critical)

RCE nel driver HTTP.sys, separata dalla HTTP/2 Bomb. Colpisce tutti i sistemi che espongono servizi HTTP inclusi IIS e applicazioni che usano direttamente HTTP.sys.

Strategia di deployment

Con 208 CVE e sei zero-day, non c’è spazio per ritardi. Alcune linee guida pratiche:

  1. Controllare ADV990001: verificare che il Servicing Stack Update (SSU) sia installato. È il prerequisito per l’installazione corretta di tutti gli altri aggiornamenti.
  2. Exchange prima: CVE-2026-42897 è attivamente sfruttata. Applicare le mitigazioni EEMS immediatamente.
  3. Domain Controller: CVE-2026-45648 su AD DS è Critical. Test in ambiente non-prod, poi deployment rapido su DC.
  4. BitLocker — leggere le release notes: CVE-2026-50507 può richiedere il fix manuale con reagentc. Testare prima del rollout su larga scala.
  5. Hotpatch su Azure VM: Microsoft ha reso generalmente disponibile l’hotpatching per Azure VM (Linux e Windows Server), che applica le patch kernel senza riavvio. Nei workload Azure, è la modalità preferita per ridurre i downtime.

Conclusione

Il Patch Tuesday di giugno 2026 non è un mese da rimandare. La CVE-2026-45657 (kernel wormable CVSS 9.8), la zero-day Exchange in produzione, i doppi bypass BitLocker e la falla AKS compongono un quadro che richiede azione rapida e pianificata. Scaricare gli update, verificare l’SSU, prioritizzare Exchange e DC, e monitorare per eventuali regressioni post-patch, specialmente per il caso BitLocker/reagentc.

Fonte: BleepingComputer — Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws | Zero Day Initiative — June 2026 Security Update Review

💬 Unisciti alla discussione!


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@spcnet.it e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Patch Tuesday Giugno 2026: record di 208 CVE, 6 zero-day e una falla kernel wormable con CVSS 9.8, utilizza la discussione sul Forum.
Condividi la tua esperienza, confrontati con altri professionisti e approfondisci i dettagli tecnici nel nostro 👉 forum community