Microsoft ha rilasciato il Patch Tuesday di febbraio 2026, correggendo 59 vulnerabilità distribuite tra Windows, componenti core del sistema operativo e servizi correlati. Il dato che colpisce è la presenza di sei zero-day che sarebbero state già sfruttate diffusamente in attacchi reali.

Delle 59 vulnerabilità, cinque sono classificate come critiche, 52 come importanti e due come moderate. Nel complesso, le tipologie di vulnerabilità corrette sono le seguenti:

• 25 di tipo escalation di privilegi;
• 12 di esecuzione di codice remoto;
• 7 di tipo spoofing;
• 6 di tipo Information Disclosure;
• 5 che consentono il bypass delle funzionalità di sicurezza;
• 3 di tipo Denial of Service;
• 1 di tipo cross-site scripting.

Si tratta, dunque, di un aggiornamento meno voluminoso rispetto a gennaio, ma con un profilo di rischio elevato, soprattutto per la concentrazione di vulnerabilità ad alta criticità.

Il dato che cambia completamente la prospettiva è quello delle sei zero-day nello stesso ciclo di aggiornamento: non è una questione di quantità, ma di pressione operativa.

Sei zero-day in un mese: cosa significa davvero

Infatti, quando in un singolo aggiornamento mensile troviamo sei vulnerabilità zero-day, il messaggio per chi si occupa di sicurezza aziendale è che il tempo tra scoperta, sfruttamento e patching si sta comprimendo ulteriormente.

Le vulnerabilità corrette a febbraio risultano essere state già utilizzate in attacchi reali e questo significa che non siamo davanti a una minaccia potenziale, ma a una finestra di esposizione concreta.

Questo è il punto che spesso viene sottovalutato nelle organizzazioni: non conta solo il punteggio CVSS, ma anche e soprattutto il contesto di sfruttamento.

Il profilo tecnico: escalation privilegi e RCE

L’analisi del bollettino di sicurezza pubblicato da Microsoft in occasione del Patch Tuesday di febbraio 2026 evidenzia una forte presenza di vulnerabilità di Elevation of Privilege (EoP), insieme a diverse Remote Code Execution (RCE).

Un dato, questo, che deve essere letto nel contesto degli attacchi moderni in cui l’elevazione di privilegi è la fase che trasforma un incidente in una compromissione strutturale. L’accesso iniziale può arrivare da phishing, da un exploit lato client o da un servizio esposto, ma poi è proprio l’escalation dei privilegi che consente all’attaccante di:

• ottenere privilegi SYSTEM;
• disabilitare difese endpoint;
• muoversi lateralmente (lateral movement);
• distribuire ransomware in modo efficace;

Le RCE, dal canto loro, restano il vettore più critico quando insistono su servizi esposti o componenti accessibili da remoto. In ambienti Enterprise poco segmentati, l’impatto può essere sistemico.

Zero-day attivamente sfruttate: i dettagli

L’attenzione ricade in particolare sulle vulnerabilità già sfruttate che rientrano nella categoria delle escalation locali. Questo dettaglio è rilevante.

Significa che molto probabilmente vengono utilizzate come secondo stadio di attacco, dopo un primo punto di ingresso già stabilito. È lo schema operativo che vediamo, tipicamente, nelle campagne ransomware e nelle operazioni APT: accesso iniziale, escalation, persistenza, movimento laterale.

Nel dettaglio, le vulnerabilità sfruttate attivamente o per le quali è comunque disponibile in rete anche un “proof of concept”, riguardano i seguenti componenti di Windows e delle varie applicazioni:

1. Desktop Window Manager: tracciata come CVE-2026-21519, è di tipo “Elevation of Privilege” con un punteggio CVSS di 7.8 su 10. Interessa la componente DWM dei sistemi operativi Microsoft Windows ed è dovuta da un errore di tipo “Type Confusion” nella gestione degli oggetti in memoria. Il suo sfruttamento potrebbe consentire a un attaccante locale autenticato di compromettere lo stato della memoria ed elevare i propri privilegi fino al livello SYSTEM sui sistemi obiettivo.
2. Windows Remote Desktop: tracciata come CVE-2026-21533, è anch’essa di tipo “Elevation of Privilege” con punteggio CVSS pari a 7.8. La vulnerabilità è causata da una non adeguata gestione dei privilegi. In particolare, un attaccante locale autenticato potrebbe modificare la configurazione del servizio e ottenere privilegi di livello SYSTEM, riuscendo anche ad aggiungere nuove utenze al gruppo Administrator.
3. MSHTML Framework: la CVE-2026-21513 è di tipo “Security Feature Bypass” con punteggio CVSS pari a 8.8. La vulnerabilità interessa il motore di rendering MSHTML (Trident), utilizzato da Internet Explorer e da diverse applicazioni Windows per interpretare i contenuti web, ed è causata da un’errata gestione di specifici tipi di file. Un attaccante remoto non autenticato, potrebbe sfruttarla per indurre un utente ad aprire un file HTML o un collegamento (.lnk) opportunamente predisposto aggirando così gli avvisi di sicurezza del sistema operativo per eseguire codice malevolo sui dispositivi target.
4. Windows Shell: tracciata come CVE-2026-21510, è di tipo “Security Feature Bypass” con punteggio CVSS di 8.8 su 10. È dovuta a un errore nella convalida dei file di collegamento (.lnk). Un eventuale attaccante remoto non autenticato potrebbe indurre un utente ad aprire un file malevolo opportunamente predisposto e fruttare poi la vulnerabilità per aggirare i controlli di sicurezza del sistema (come Windows SmartScreen) al fine di eseguire codice arbitrario sui dispositivi compromessi.
5. Microsoft Word: tracciata come CVE-2026-21514, è di tipo “Security Feature Bypass” con punteggio CVSS pari a 7.8. Interessa l’applicazione Microsoft Word ed è causata da un difetto logico di tipo “Reliance on Untrusted Inputs in a Security Decision”. Dopo aver indotto la vittima ad aprire un file Office opportunamente creato, un attaccante potrebbe sfruttare la vulnerabilità per aggirare specifiche funzionalità di sicurezza sul sistema compromesso, facilitando così eventuali fasi di attacco successive.
6. Windows Remote Access Connection Manager: tracciata come CVE-2026-21525, è di tipo “Denial of Service” con punteggio CVSS di 6.2 su 10. È stata identificata nel servizio RasMan ed è causata da un errore di tipo “Null Pointer Dereference”. Un attaccante locale non privilegiato potrebbe sfruttare questa falla per provocare un arresto anomalo del servizio, causando un’interruzione della disponibilità dello stesso sul sistema interessato.

Security Feature Bypass: il rischio silenzioso

Come abbiamo detto, tra le vulnerabilità corrette da Microsoft in occasione del Patch Tuesday di febbraio 2026 figurano anche bug di tipo Security Feature Bypass.

Sono quelle che, spesso, attirano meno attenzione perché non generano immediatamente esecuzione di codice malevolo.

Ma in un attacco strutturato, bypassare una misura di sicurezza può fare la differenza tra un tentativo bloccato e una compromissione riuscita.

Quando un attaccante riesce a ridurre la superficie difensiva prima di colpire, il margine di rilevazione si assottiglia drasticamente.

Meno vulnerabilità, più pressione strategica

L’analisi dello storico dei Patch Tuesday conferma che 59 vulnerabilità non sono un numero straordinario per gli standard Microsoft, ma sei vulnerabilità zero-day nello stesso ciclo mensile rappresentano un segnale preoccupante.

Stiamo assistendo a una dinamica offensiva dei gruppi criminali che si sta ormai consolidando:

• vulnerabilità scoperte più rapidamente;
• exploit sviluppati in tempi sempre più brevi;
• integrazione immediata nei toolkit offensivi.

La conseguenza di ciò è che il patch management diventa, di fatto, una corsa contro il tempo e smette di essere un processo lineare.

Cosa significa per le organizzazioni: un segnale chiaro per i CISO

Per le organizzazioni il Patch Tuesday di febbraio 2026 è un’utile lezione dal punto di vista operativo, da cui possiamo ricavare tre azioni precise:

1. Priorità immediata ai sistemi esposti e ai server critici.
2. Verifica dei log e degli indicatori di compromissione associabili alla zero-day sfruttata.
3. Accelerazione del ciclo di test e rilascio patch, riducendo la finestra di esposizione.

Ma, soprattutto, richiede un cambio di mentalità.

Come dicevamo, il patch management non può più essere trattato come una routine amministrativa mensile, ma diventa un indicatore diretto della maturità cyber dell’organizzazione.

Teniamo i nostri sistemi sempre aggiornati

Dunque, se il patch management diventa una misura di cyber difesa strategica per le aziende, significa che non basta più semplicemente “correre ai ripari”: quando una zero-day con codice exploit già pubblico è coinvolta, il tempo diventa un fattore decisivo.

In un contesto di attacchi sempre più veloci e mirati, la capacità delle aziende di ridurre la finestra di esposizione tra la pubblicazione delle patch e la loro applicazione diventa un fattore critico per la resilienza informatica.

Installiamo gli aggiornamenti Microsoft

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo.

Quando un aggiornamento è disponibile, viene scaricato e segnalato all’utente che così può installarlo per mantenere il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 11 è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Il consiglio è quello di eseguire un backup del sistema o, quantomeno, dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.

Ulteriori dettagli sul pacchetto cumulativo di aggiornamenti per questo mese sono disponibili sulla pagina ufficiale Microsoft.