Patch Tuesday, oltre 130 bug: l'AI spinge il patching

Patch Tuesday, oltre 130 bug: l'AI spinge il patching

Microsoft ha rilasciato il Patch Tuesday del 12 maggio 2026 con patch per oltre 130 vulnerabilità, portando il totale del 2026 oltre le 500. L'azienda ha reso pubblico MDASH, il sistema AI interno che ha individuato autonomamente 16 flaw nel mese, quattro dei quali critical. L'obiettivo dichiarato è gestire un ritmo di scoperta che sta superando la capacità di reazione dei team aziendali tradizionali.

Oltre 500 flaw in cinque mesi: il trend è strutturale, non un picco

Il Patch Tuesday del 12 maggio 2026 si colloca sul lato superiore di un mese già intenso. Secondo il Security Update Guide, il bollettino include oltre 130 vulnerabilità corrette, un numero che aggiunto ai rilasci precedenti porta il totale del 2026 oltre le 500 unità. Il dato non rappresenta un'anomalia: il blog ufficiale del Microsoft Security Response Center (MSRC) dichiara esplicitamente che le release continueranno a crescere.

A sostegno della lettura di un incremento strutturale, il mese di aprile aveva già toccato le 173 voci. La curva ascendente riflette l'adozione di strumenti automatizzati per la scansione del codice, che consentono di intercettare flaw precedentemente invisibili a una scala fino a qualche anno fa impraticabile. L'effetto immediato è un carico operativo che i team di vulnerability management aziendali devono assorbire senza diluire la qualità delle prioritizzazioni.

MDASH, l'AI interna che ha trovato 16 bug da sola

Per la prima volta Microsoft ha reso pubblico MDASH, un sistema AI interno che opera come harness di scanning multi-modello. Nel rilascio di maggio MDASH ha individuato 16 vulnerabilità senza intervento umano precedente, quattro delle quali classificate critical. L'azienda lo ha validato tramite retrospective recall su due componenti Windows interni, ottenendo il 96% su uno e il 100% su un altro rispetto a cinque anni di flaw già noti.

Il sistema non è un prototipo sperimentale ma un elemento integrato del flusso di lavoro del MSRC. La sua capacità di analizzare codice legacy e componenti interni con precisione elevata solleva tuttavia una questione operativa: se l'AI trova più bug più velocemente, la capacità di patch dei vendor cresce, ma anche la superficie di attacco gestibile si espande in parallelo. Le imprese che fanno affidamento su cicli di patching mensili o trimestrali rischiano di accumulare esposizione.

Microsoft non ha reso noto se MDASH sia destinato a diventare un prodotto commerciale o accessibile a terzi: al momento rimane un'infrastruttura proprietaria. Analogamente, i dettagli tecnici completi sui modelli impiegati e sulle tempistiche di training non sono stati divulgati nel comunicato ufficiale.

"We are at a moment in the industry where AI-powered vulnerability discovery stops being speculative and starts being an engineering problem."
— Microsoft (via The Record)

Netlogon e DNS Client: due RCE da 9.8 che non richiedono autenticazione

Tra le correzioni di maggio spiccano due vulnerabilità Remote Code Execution con punteggio CVSS 9.8 su 10. La prima riguarda Windows Netlogon e consente a un attaccante di eseguire codice senza autenticazione inviando una richiesta di rete appositamente costruita. La seconda colpisce Windows DNS Client e, in certe configurazioni, potrebbe consentire l'esecuzione remota di codice senza autenticazione.

La terza criticità di rilievo è una RCE in Microsoft Dynamics 365 On-Premises con punteggio 9.9, eseguibile da un attaccante già autorizzato sulla rete. Nel testo fornito dal Security Update Guide non risultano leggibili gli identificatori CVE esatti delle tre falle, il che rende impossibile una verifica incrociata immediata con cataloghi esterni come quello CISA delle Known Exploited Vulnerabilities.

Non è confermato nel materiale disponibile se queste specifiche vulnerabilità siano già state sfruttate in-the-wild al momento del rilascio delle patch. Microsoft non ha inoltre dettagliato quali siano le configurazioni esatte del DNS Client che espongono il sistema all'exploit, limitando la capacità delle imprese di autovalutare il rischio senza applicare la correzione.

La validazione del 96%: come Microsoft ha misurato la precisione di MDASH

Per valutare l'affidabilità di MDASH, Microsoft ha utilizzato una metrica di retrospective recall confrontando le scoperte dell'AI con cinque anni di vulnerabilità già documentate in due componenti Windows. Il risultato è stato un tasso di richiamo del 96% su un componente e del 100% su un altro, un punteggio che giustifica l'inserimento del sistema nella catena produttiva del vulnerability response. La metodologia implica che il sistema sia in grado di ricostruire flaw noti a posteriori, riducendo il rischio di falsi negativi su codice storico.

Tom Gallagher, VP Engineering del MSRC, ha commentato che gli ingegneri Microsoft e la comunità della sicurezza usano l'AI per esaminare il software "più attentamente e più spesso di quanto fosse praticabile anche solo pochi anni fa". La stessa azienda, citata da The Record, ha definito il momento attuale come quello in cui la discovery AI smette di essere speculativa per diventare "un problema di ingegneria".

Cosa fare adesso

Applicare immediatamente le patch per le tre vulnerabilità RCE con CVSS 9.8+ nel Patch Tuesday del 12 maggio, in particolare sui sistemi Windows Netlogon e DNS Client esposti alla rete. La gravità dei punteggi e la mancanza di requisiti di autenticazione su due delle tre falle rendono l'esposizione particolarmente pericolosa.

Rivedere il Service Level Agreement di patching azzerando i tempi di test per le critical autenticate e non autenticate, dato che i rilasci Microsoft cresceranno strutturalmente. Il blog del MSRC avverte che il volume continuerà a salire: mantenere finestre di test mensili su flaw con CVSS 9.8+ diventa una scelta di rischio più che di governance.

Isolare i controller di dominio e i resolver DNS interni per contenere l'impatto delle RCE non autenticate, in attesa di conferme sulle configurazioni esatte a rischio. Poiché Microsoft non ha dettagliato quali setup rendano vulnerabile il DNS Client, la segmentazione rappresenta l'unico controllo compensativo certo fino all'applicazione della patch.

Abbandonare la prioritizzazione esclusiva per CVSS e integrare l'exploitability index e i segnali in-the-wild, quando disponibili, per concentrare le risorse sui flaw realmente attaccabili. Il consiglio deriva dalla constatazione che un punteggio alto non sempre corrisponde a una minaccia attiva, mentre la combinazione di exploitability e indicatori di sfruttamento aiuta a gestire il carico crescente.

L'annuncio di MDASH segna un punto di svolta non solo tecnologico ma contrattuale: i vendor potranno fissare più bug più in fretta, ma sposteranno sui clienti il costo di un patching che non ammette più ritardi. La sfida per le imprese non è più se patchare, ma a quale velocità. Chi non riuscirà a comprimere i cicli di test e deployment rischia di vedere la propria superficie di attacco gestita diventare ingestibile.

Domande frequenti

MDASH è disponibile anche ad altre aziende o è solo interno Microsoft?

Al momento è un sistema proprietario interno. Microsoft non ha annunciato né commercializzazione né accesso esterno.

Perché il totale delle vulnerabilità del 2026 supera le 500 unità?

Il conteggio include, oltre ai bollettini mensili, anche correzioni per Edge, Chromium e fix rilasciati in momenti diversi dal Patch Tuesday canonico.

Le tre RCE da 9.8+ di maggio sono già sfruttate attivamente?

Nel materiale disponibile al momento della pubblicazione non risulta confermato che siano state aggiunte al catalogo CISA KEV né che si registrino attacchi in-the-wild.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://therecord.media/microsoft-on-pace-to-break-annual-vulnerability-record-ai
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://msrc.microsoft.com/update-guide/vulnerability
• https://www.microsoft.com/en-us/msrc/blog/2026/05/a-note-on-patch-tuesday
• https://www.microsoft.com/en-us/msrc/blog