Microsoft ha rilasciato il 9 giugno 2026 gli aggiornamenti cumulativi di sicurezza per circa 200 vulnerabilità, con tre zero-day già divulgate pubblicamente ma non attivamente sfruttate al momento del rilascio. Il ciclo è volumetricamente significativo e tecnicamente eterogeneo: un denial-of-service su HTTP/2 abusa della compressione HPACK, un errore di link following nel framework CTFMON concede elevazione a SYSTEM, e un bypass fisico di BitLocker — la cosiddetta YellowKey — espone drive criptati a chi abbia accesso locale e una chiavetta USB. L'assenza di exploitation confermata non annulla il rischio: la pubblica divulgazione delle tre falle accelera la replicabilità, e il ricercatore Nightmare Eclipse ha già dimostrato di saper costringere i tempi di patching Microsoft con la campagna iniziata ad aprile.
- Il conteggio delle vulnerabilità corrette oscilla tra 200 (BleepingComputer) e 204 (SANS ISC), con 33-38 classificate Critical a seconda della fonte; le 360 flaw Edge/Chromium e le patch cloud precedenti nel mese sono escluse dal computo.
- Le tre zero-day pubbliche di giugno — CVE-2026-49160 (HTTP/2 Bomb DoS), CTFMON LPE, YellowKey BitLocker bypass — non risultavano sfruttate in attacchi attivi al 9 giugno 2026.
- Microsoft ha introdotto una mitigazione registry-based, MaxHeadersCount per HTTP/2 e HTTP/3, documentata nella KB5102602 pubblicata lo stesso giorno del rilascio delle patch.
- YellowKey è stata divulgata a maggio da Nightmare Eclipse e inserita nel ciclo di giugno, segnando l'ennesimo round del conflitto disclosure tra il ricercatore e il programma bug bounty Microsoft.
HTTP/2 Bomb: compressione HPACK come arma di esaurimento risorse
CVE-2026-49160 sfrutta un meccanismo di compressione dei header HTTP/2 e HTTP/3 per generare una "bomba" che esaurisce le risorse del server. Il vettore è remoto, non richiede autenticazione, e il risultato è un denial of service su larga scala. Il National Vulnerability Database assegna alla falla un punteggio CVSS 7.5, classificandola HIGH con vettore AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H: attacco da rete, complessità bassa, nessun privilegio o interazione utente richiesti, impatto esclusivamente sulla disponibilità.
La peculiarità tecnica di questo rilascio non è la patch in sé, ma la contro-misura parallela introdotta da Microsoft. Il 9 giugno 2026 l'azienda ha pubblicato la KB5102602, che aggiunge un parametro di registro — MaxHeadersCount — per limitare il numero di header accettati nelle richieste HTTP/2 e HTTP/3. La doppia linea di difesa, binaria e configurativa, suggerisce che la falla abbia una superficie di attacco vasta e che la sola correzione codice non bastasse a contenere il rischio operativo immediato.
CTFMON e YellowKey: due vettori, un unico denominatore fisico
La seconda zero-day riguarda Windows Collaborative Translation Framework, il servizio CTFMON. L'errore è classificato come "Improper link resolution before file access ('link following')": un attaccante già autenticato ottiene elevazione privilegi a livello SYSTEM operando in locale. Il ricercatore che ha scoperto la falla ha preferito rimanere anonimo, un pattern che si allinea alla campagna di divulgazione non coordinata che ha caratterizzato i mesi precedenti.
La terza zero-day, YellowKey, è il bypass fisico di BitLocker divulgato a maggio da Nightmare Eclipse. Il meccanismo richiede accesso fisico alla macchina, una partizione USB/EFI e l'ambiente Windows Recovery (WinRE): premendo CTRL durante il boot si ottiene una shell con accesso al drive criptato. BleepingComputer precisa che la falla colpisce "principalmente i sistemi che usavano protezione TPM-only su Windows 11 e Windows Server 2022/2025". Microsoft aveva già diffuso mitigazioni temporanee, tra cui l'adozione di TPM+PIN, ma la patch di giugno 2026 è la prima correzione strutturale nel ciclo regolare.
Numeri in tensione: due conteggi, due letture del perimetro
La divergenza numerica tra fonti primarie è rilevante e deve essere enunciata esplicitamente. BleepingComputer riporta 200 flaw, di cui 33 Critical: 28 remote code execution, 4 elevation of privilege, 1 information disclosure. SANS ISC conta invece 204 vulnerabilità totali, di cui 38 Critical. La differenza di 4 unità nel totale e di 5 nelle Critical non è spiegata testualmente dalle fonti, ma BleepingComputer chiarisce il proprio criterio: esclude dal conteggio Patch Tuesday le correzioni rilasciate precedentemente nel mese per prodotti cloud (Mariner, Azure HorizonDB, Copilot, Exchange Online, Graph) e le 360 vulnerabilità Edge/Chromium gestite da Google. SANS non specifica analoga granularità, il che rende probabile un conteggio più inclusivo.
"This is certainly a busier-than-usual patch Tuesday. In particular, the large number of patched Chromium/Edge vulnerabilities underscores the impact of AI tools on vulnerability discovery" — SANS Internet Storm Center
SANS aggiunge nel proprio riepilogo che 6 vulnerabilità cloud non richiedono azione utente, essendo state corrette lato server. Il dato, pur marginale, conferma la tendenza di Microsoft a decouplare il patching infrastrutturale dal ciclo mensile desktop-server, complicando il lavoro di chi deve tracciare il perimetro effettivo.
Il contesto Nightmare Eclipse: da BlueHammer a YellowKey, l'evoluzione di una campagna
Le tre zero-day di giugno 2026 non sono un episodio isolato. Da aprile 2026, il ricercatore noto come Nightmare Eclipse ha rilasciato in sequenza BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498) e infine YellowKey, tutte in protesta contro "la gestione dei programmi bug bounty e vulnerability disclosure di Microsoft", secondo la ricostruzione di BleepingComputer. Le prime tre hanno richiesto patch out-of-band a maggio, con conferma di exploitation attiva per almeno due di esse — un ritmo che ha forzato Microsoft fuori dal calendario regolare.
YellowKey segna una svolta nella dinamica: la falla è stata divulgata pubblicamente a maggio, inserita nel ciclo di giugno senza exploitation attiva confermata, e corregge un vettore fisico piuttosto che remoto. Il de-escalation del rischio immediato — da RCE/SYSTEM in-the-wild a bypass fisico con accesso locale — potrebbe riflettere una strategia di Microsoft nel contenere il danno pubblico, oppure un ridimensionamento tattico del ricercatore. Il dossier non chiarisce i moventi di questa transizione, né se Nightmare Eclipse abbia altre falle in attesa di divulgazione.
Cosa fare adesso
- Applicare gli aggiornamenti cumulativi di giugno 2026 senza attendere la fine del ciclo di test standard: le tre zero-day sono pubbliche e replicabili.
- Configurare MaxHeadersCount via registry sui server esposti a HTTP/2 e HTTP/3, seguendo la KB5102602, come mitigazione difensiva aggiuntiva alla patch CVE-2026-49160.
- Verificare la configurazione BitLocker sui sistemi Windows 11 e Server 2022/2025: se attivo in modalità TPM-only, migrare a TPM+PIN come controllo intermedio fino a conferma di applicazione patch.
- Rivedere le policy di gestione privilegi per il servizio CTFMON e i processi di link resolution, limitando la superficie di attacco per elevazione locale fino a verifica di corretto patching.
FAQ
YellowKey richiede accesso fisico: perché è classificata zero-day critica?
Il vettore fisico non riduce automaticamente la severità operativa: BitLocker è progettato proprio per proteggere dati a riposo in scenario di furto o perdita dispositivo. Un bypass con USB e pochi tasti annulla questo presupposto per milioni di endpoint configurati TPM-only. La pubblica divulgazione del metodo rende inoltre replicabile l'attacco senza competenze offensive avanzate.
Perché Microsoft ha rilasciato MaxHeadersCount in aggiunta alla patch CVE-2026-49160?
Il registry setting permette agli amministratori di intervenire immediatamente su sistemi dove il patching completo richiede finestre di manutenzione più lunghe, o dove HTTP/2 è esposto su infrastrutture eterogenee. È un pattern difensivo che Microsoft ha già usato in passato per falle ad alta ampiezza di superficie, ma il dossier non specifica precedenti analoghi per questa classe di vulnerabilità.
Nightmare Eclipse ha smesso di pubblicare zero-day?
Non emergono elementi nel dossier che confermino né una sospensione né una prosecuzione della campagna. YellowKey è l'ultima divulgazione documentata, ma il ricercatore ha già dimostrato capacità di rilasciare multiple falle in sequenza. Il brief non contiene indicazioni su eventuali comunicazioni successive al 9 giugno 2026.
Il Patch Tuesday di giugno 2026 conferma che la tensione tra coordinated disclosure e pubblica divulgazione ha modificato il calendario di risposta Microsoft, non solo la sua velocità. Le tre zero-day di giugno sono state contenute senza exploitation attiva, a differenza delle precedenti BlueHammer, RedSun e UnDefend: questo potrebbe segnare un adattamento del vendor ai tempi di reazione, oppure una selezione più cauta da parte del ricercatore. Ciò che resta stabile è il volume — circa 200 flaw — e la crescente quota di vulnerabilità scoperte con assistenza strumenti AI, un trend che SANS ISC evidenzia come fattore strutturale del panorama futuro.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/
- https://isc.sans.edu/diary/rss/33064
- https://krebsonsecurity.com/2026/04/patch-tuesday-april-2026-edition/
- https://www.darkreading.com/cyberattacks-data-breaches/windows-zero-day-barrage-continues-after-patch-tuesday
- https://www.darkreading.com/application-security/patch-tuesday-microsoft-zero-day-sight
- https://thecyberexpress.com/cve-2025-48595-android-june-2026/
- https://www.techtimes.com/articles/316957/20260521/microsoft-defender-zero-days-patched-redsun-undefend-exploits-already-used-live-intrusions.htm
- https://nvd.nist.gov/vuln/detail/CVE-2026-33825
- https://nvd.nist.gov/vuln/detail/CVE-2026-41091
- https://nvd.nist.gov/vuln/detail/CVE-2026-45498
- https://support.microsoft.com/en-us/topic/control-the-maximum-number-of-http-2-and-http-3-request-headers-in-windows-clients-and-servers-084da156-7a99-4abf-b759-f973c35eded3
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45491