Patch Tuesday maggio 2026: 137 falle e RCE su DNS senza zero-day noti

Patch Tuesday maggio 2026: 137 falle e RCE su DNS senza zero-day noti

Microsoft ha rilasciato il bollettino di sicurezza del Patch Tuesday di maggio 2026 il 12 maggio, indirizzando un totale di 137 vulnerabilità che interessano Windows, Azure, Office, SharePoint e Dynamics 365. Sebbene nessuna delle falle risulti attivamente sfruttata in the wild al momento del rilascio, la severità tecnica del pacchetto è elevata: la presenza di remote code execution (RCE) non autenticate nel DNS Client e in Netlogon espone ogni endpoint Windows e ogni domain controller dell'infrastruttura enterprise a potenziali compromissioni di rete senza interazione dell'utente.

Il dato che rende il bollettino di maggio 2026 anomalo non è tuttavia la sola criticità delle vulnerabilità RCE segnalate. Due fonti primarie di analisi riportano cifre incongruenti sulle vulnerabilità classificate come "critical", creando un disallineamento informativo che complica la prioritizzazione per i team di vulnerability management. Microsoft ha designato 13 vulnerabilità come "more likely" di essere sfruttate, mentre le restanti 113 sono considerate "less likely" o "unlikely", secondo le analisi di CyberScoop condotte sui dati del vendor.

RCE su DNS Client e Netlogon: il cuore del rischio enterprise

Tra le falle a impatto più elevato, Talos Intelligence evidenzia un heap-based overflow nel Windows DNS Client che permette a un attaccante non autenticato l'esecuzione di codice remoto tramite risposte DNS manipolate. Poiché il servizio DNS Client è attivo su quasi ogni macchina Windows nell'ecosistema enterprise, la superficie di esposizione è massiva. Un attaccante in grado di influenzare le risposte DNS potrebbe ottenere il controllo dei sistemi senza che sia necessaria alcuna azione da parte dei dipendenti o degli amministratori di sistema.

"No authentication or user interaction needed, and since the DNS Client runs on virtually every Windows machine, the attack surface is enormous. An attacker with a position to influence DNS responses could achieve unauthenticated remote-code execution across your enterprise." - Dustin Childs, head of threat awareness at Trend Micro's Zero Day Initiative

Parallelamente, Talos descrive uno stack-based buffer overflow in Windows Netlogon. Un attaccante può inviare una richiesta di rete malformata a un server che opera come domain controller per innescare l'esecuzione di codice non autorizzato. Questa vulnerabilità non richiede credenziali o accesso preventivo. "An attacker could send a specially crafted network request to a Windows server that is acting as a domain controller. If successful, this could cause the Netlogon service to improperly handle the request, potentially allowing the attacker to run code on the affected system."

Sebbene l'assenza di zero-day mitighi l'urgenza immediata, queste 16 vulnerabilità RCE critiche (secondo il conteggio Talos) rappresentano obiettivi primari per la weaponizzazione post-patch. Una volta che i dettagli tecnici delle correzioni diventeranno pubblici, i sistemi non aggiornati, in particolare i domain controller che espongono Netlogon e gli endpoint che risolvono query DNS, diventeranno bersagli vulnerabili a movimenti laterali e compromissione dell'intero dominio Active Directory dell'organizzazione.

Dynamics 365 e Azure: code injection e punteggi CVSS 9.9

Il bollettino di maggio 2026 include anche criticità rilevanti per le infrastrutture cloud e CRM. CyberScoop segnala una coppia di vulnerabilità in Azure e una falla specifica in Microsoft Dynamics 365 on-premises che hanno ricevuto un punteggio CVSS di 9.9, sfiorando il massimo livello di gravità. Talos specifica che la vulnerabilità in Dynamics (CVE-2026-42898) deriva da un controllo improprio della generazione del codice, permettendo a un attaccante autorizzato di eseguire comandi arbitrari via rete.

Jack Bicer, director of vulnerability research di Action1, ha sottolineato come la compromissione di sistemi come Dynamics 365 esponga i dati sensibili dei clienti e i workflow operativi. Il rischio principale risiede nella capacità di un attaccante con accesso di base di trasformare un server applicativo in una piattaforma di esecuzione remota, espandendo l'impatto ben oltre il componente inizialmente vulnerabile. Questo tipo di escalation mette a repentaglio la riservatezza delle informazioni aziendali critiche.

"With no user interaction required, and the potential to impact systems beyond the vulnerable component's original security scope, this vulnerability poses serious enterprise risk: an attacker with only basic access could turn a business application server into a remote execution platform." - Jack Bicer, Action1.

L'integrità dei sistemi CRM è vitale per la continuità del business. Una code injection riuscita in Dynamics 365 on-premises non compromette solo il database dei record, ma può servire come testa di ponte per l'esfiltrazione di dati o per la paralisi dei flussi di lavoro aziendali automatizzati, rendendo imperativo il patching tempestivo di questi specifici asset cloud e on-premise.

Il disallineamento tra Talos e CyberScoop sui conteggi 'critical'

Talos Intelligence e CyberScoop concordano sul totale di 137 vulnerabilità risolte da Microsoft, ma presentano discrepanze nette sulla classificazione della gravità. Talos riporta che 31 vulnerabilità sono state marcate come "critical" da Microsoft. Al contrario, CyberScoop indica che solo 13 vulnerabilità hanno ricevuto un rating CVSS ufficialmente classificato come critico. Questa divergenza nasce dalla differenza tra i "severity tags" qualitativi del vendor (usati da Talos) e il punteggio numerico CVSS (usato da CyberScoop).

Questa discrepanza tecnica influisce direttamente sulla strategia di difesa. Se si segue il criterio dei tag Microsoft, il volume di patch prioritarie sale a 31; se si segue il rating CVSS, scende a 13. CyberScoop precisa inoltre che solo 13 vulnerabilità sono considerate "more likely" da Microsoft per quanto riguarda la probabilità di exploitation, mentre la stragrande maggioranza, ovvero 113 falle, rientra nelle categorie "less likely" o "unlikely".

"Microsoft has not observed any of the included vulnerabilities being actively exploited in the wild," conferma Talos Intelligence citando il bollettino ufficiale. Tuttavia, la mancanza di una metrica univoca tra gli analisti suggerisce che i team di sicurezza non debbano limitarsi a contare le falle "critical". Devono invece valutare l'esposizione reale dei propri asset, considerando che il tag "more likely" può indicare una facilità di exploitation che il punteggio CVSS da solo non sempre riflette pienamente.

Cosa fare adesso

Stabilire una gerarchia temporale di patching rigorosa: aggiornare entro 48-72 ore i Domain Controller e i server DNS, data la natura critica delle RCE non autenticate che colpiscono Windows Netlogon e il DNS Client su ogni endpoint della rete. La priorità assoluta deve essere data a questi componenti infrastrutturali per prevenire compromissioni a livello di dominio.

Procedere con l'aggiornamento immediato delle istanze Microsoft Dynamics 365 on-premises e delle risorse Azure identificate con punteggio CVSS 9.9. Per i sistemi che non possono sostenere un fermo macchina immediato, implementare misure di segmentazione di rete per isolare il traffico verso le porte Netlogon e limitare le query DNS a server ricorsivi autorizzati e sicuri.

Implementare nei sistemi IDS/IPS le regole Snort rilasciate da Talos Intelligence. Nello specifico, configurare i blocchi discontinui di SID 1:66438-1:66445, 1:66451-1:66460 e 1:66470-1:66476. Queste regole sono essenziali per il monitoraggio dei tentativi di exploitation durante la finestra temporale necessaria al completamento del ciclo di patching su tutti i 137 punti di vulnerabilità.

Il Patch Tuesday di maggio 2026 ribadisce che la sicurezza degli endpoint Windows dipende da una governance dei dati precisa. Il disallineamento tra 31 e 13 vulnerabilità critiche dimostra che affidarsi a un solo aggregatore di terze parti può portare a una sottostima del rischio. In un panorama dove le RCE colpiscono componenti core come il DNS Client, la velocità di esecuzione del patching resta l'unica difesa efficace contro la weaponizzazione post-rilascio.

Perché Talos riporta 31 critical e CyberScoop solo 13?

La differenza risiede nel criterio di analisi: Talos riporta tutte le vulnerabilità a cui Microsoft ha assegnato il tag di severità "Critical". CyberScoop, invece, filtra il bollettino basandosi esclusivamente sul rating numerico CVSS v3/v4 pari o superiore a 9.0. Entrambi i numeri sono corretti nei rispettivi contesti metodologici, ma riflettono prospettive diverse sulla gravità.

Quali sono i rischi legati alla vulnerabilità DNS Client?

La vulnerabilità è particolarmente pericolosa perché il DNS Client è presente di default su ogni sistema Windows. Essendo una RCE non autenticata e senza interazione dell'utente, un attaccante che riesce a intercettare o falsificare una risposta DNS può eseguire codice arbitrario con privilegi elevati, rendendo la falla ideale per attacchi wormable all'interno della rete aziendale.

Le regole Snort fornite coprono l'intero range dei SID segnalati?

No, i SID rilasciati da Talos per Snort 2 e Snort 3 non sono in un range continuo. Le regole valide si trovano nei blocchi 1:66438-1:66445, 1:66451-1:66460 e 1:66470-1:66476. È fondamentale inserire correttamente questi specifici identificativi per evitare di monitorare range inesistenti o non pertinenti alle vulnerabilità di maggio 2026.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://blog.talosintelligence.com/microsoft-patch-tuesday-may-2026/
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://cyberscoop.com/microsoft-patch-tuesday-may-2026/