// 2 CRITICAL · 4 ZERO-DAY · 4 CVE · 1 EXPLOIT NELLE ULTIME 24H
Il Patch Tuesday di luglio 2026 porta un numero record di vulnerabilità Microsoft. Due zero-day sono già sfruttate in attacchi reali contro AD FS e SharePoint.

Microsoft ha rilasciato il 14 luglio 2026 il Patch Tuesday con il maggior numero di vulnerabilità mai documentato in un singolo mese. Il conteggio oscillante tra 570 e 622 flaw — a seconda dei criteri di inclusione — include tre zero-day, di cui due attivamente sfruttate in attacchi confermati e una pubblicamente divulgata. Il dato non è aneddotico: segnala una trasformazione strutturale nel modo in cui Microsoft scova i bug, con ricadute immediate sulla capacità dei team enterprise di gestire il patching.

Punti chiave
  • Due zero-day attivamente sfruttate: CVE-2026-56155 in AD FS (privilege escalation locale) e CVE-2026-56164 in SharePoint Server (privilege escalation remota), entrambe con exploit già in circolazione.
  • Una zero-day pubblicamente divulgata: CVE-2026-50661, bypass di BitLocker che richiede accesso fisico al dispositivo.
  • Il conteggio record varia tra 570 flaw (BleepingComputer, escludendo Edge/Chromium e fix non-Patch Tuesday) e 622 vulnerabilità (SecurityWeek, criterio non specificato).
  • Microsoft ha attribuito l'aumento strutturale al sistema AI-powered MDASH (Multi-model Agentic Scanning Harness), che integra la scoperta automatica nelle pipeline di sviluppo Windows.

Le due zero-day già in azione: da AD FS a SharePoint

La CVE-2026-56155 colpisce Active Directory Federation Services. Jeremy Kingston e Scott Clark del Microsoft DART (Detection and Response Team) l'hanno identificata durante un'indagine su attacchi in corso: la descrizione ufficiale recita «insufficient granularity of access control» che consente «an authorized attacker to elevate privileges locally». La natura locale della compromissione non riduce il rischio: in ambienti enterprise, l'elevazione su un nodo AD FS può aprire la strada alla compromissione dell'intera federazione identità.

La CVE-2026-56164 riguarda invece Microsoft Office SharePoint Server. Qui il vettore è remoto: «missing authentication for critical function» permette «an unauthorized attacker to elevate privileges over a network». Il credito della scoperta va a Jayson Frost di Mandiant Incident Response, Genwei Jiang di Google Cloud FLARE OTF, l'unità FLARE OTF e un ricercatore non divulgato. La convergenza di analisti da Mandiant e Google Cloud conferma la serietà della minaccia in ambienti di produzione già attivi, non in laboratorio.

Microsoft non ha reso pubblici i dettagli tecnici degli exploit in-the-wild per entrambe le vulnerabilità. Il dossier non specifica l'entità degli attacchi né i settori o le vittime colpite.

Il record numerico: perché i conteggi divergono

BleepingComputer riporta 570 flaw, specificando che il conteggio include «only those released by Microsoft today», escludendo aggiornamenti Edge/Chromium e altri prodotti non rientranti nel ciclo Patch Tuesday. Di queste, 59 sono classificate Critical: 48 RCE, 9 escalation of privilege, 1 bypass e 1 spoofing. SecurityWeek indica invece 622 vulnerabilità totali, con 416 in Windows e 164 in Office, senza specificare il criterio di inclusione.

La discrepanza non è una contraddizione da risolvere ma un segnale metodologico: i numeri record dipendono da cosa si conta. Entrambe le fonti concordano sulla direzione — un picco senza precedenti — ma il lettore enterprise deve sapere che il proprio perimetro di esposizione può variare in base ai prodotti Microsoft in uso.

Una terza fonte, ByteIota, cita 127 CVE con focus diverso, inclusa una presunta CVE-2025-47981 «wormable» non confermata nelle fonti primarie. Questo dato non è corroborato da BleepingComputer né da SecurityWeek e non è utilizzabile come fatto verificato.

L'acceleratore invisibile: MDASH e la scoperta AI-powered

L'aumento del volume non è accidentale. La settimana precedente al rilascio, Microsoft aveva anticipato l'adozione di sistemi di vulnerability discovery basati su intelligenza artificiale. Pavan Davuluri, Windows Executive Vice President, ha confermato il Multi-model Agentic Scanning Harness (MDASH): «We continue to evolve our internal systems and practices so that vulnerability discovery is not treated as a separate activity, but as part of how we build, review, and improve Windows».

La logica è chiara: l'AI trova più bug più velocemente, prima che il codice arrivi in produzione. Ma il collaterale è un flusso di patch che sovraccarica i team di sicurezza tradizionali. Il problema non è più scoprire le vulnerabilità: è decidere quali patchare per prime quando tutte arrivano insieme.

«We surmise that this could be related to a flurry of zero-day vulnerabilities disclosed by the researcher known as Nightmare-Eclipse or Chaotic-Eclipse, though no official confirmation was made» — Satnam Narang, Tenable

Questa citazione, riferita al possibile collegamento con la CVE-2026-50661 (BitLocker), rimane un'ipotesi. Non emergono sovrapposizioni infrastrutturali che colleghino il BitLocker bypass alla campagna Nightmare-Eclipse allo stato attuale. Tenable ha formulato una congettura, non una conferma.

La terza zero-day: BitLocker e l'accesso fisico

La CVE-2026-50661 è classificata da Microsoft come «publicly disclosed» con CVSS 6.1 MEDIUM. Il vettore è fisico: «an attacker with physical access to the target could exploit this vulnerability to gain access to encrypted data». La descrizione ufficiale recita «bypass the BitLocker Device Encryption feature on the system storage device». Il rischio è circoscritto a scenari di accesso locale al hardware — furto di dispositivo, interventi di manutenzione non autorizzati, accesso ai dati in sede — ma non trascurabile per endpoint mobili o workstation con dati sensibili.

Cosa fare adesso

Il flusso record impone una ricalibrazione operativa immediata:

  • Priorità assoluta alle due zero-day sfruttate (CVE-2026-56155 e CVE-2026-56164): i team devono verificare la presenza di AD FS e SharePoint Server nel perimetro e pianificare il patching con urgenza massima, dato che gli exploit sono già in circolazione.
  • Valutare l'applicabilità del BitLocker bypass (CVE-2026-50661) su endpoint mobili e workstation con dati critici, calibrando la priorità in base alla probabilità di accesso fisico non autorizzato.
  • Integrare EPSS e CISA KEV nel triaggio: con centinaia di CVE mensili, la valutazione individuale è insostenibile. L'uso del Exploit Prediction Scoring System e del Known Exploited Vulnerabilities catalog permette di filtrare il rumore e concentrare risorse su ciò che gli attaccanti sfruttano effettivamente.
  • Rivedere la copertura di AMSI e Request Body Scan per le istanze SharePoint: BleepingComputer riporta queste contromisure come mitigazione specifica per CVE-2026-56164, da verificare come layer difensivo temporaneo in attesa della patch.

La lettura: dal "patch everything" al "patch what matters"

Il Patch Tuesday di luglio 2026 non è un outlier numerico isolato. È la materializzazione di una promessa fatta mesi fa: l'intelligenza artificiale come moltiplicatore della scoperta vulnerabilità. Il vantaggio per Microsoft è evidente — più bug trovati prima del rilascio, meno zero-day in produzione — ma il costo esternalizzato grava sui team di sicurezza enterprise. Il modello operativo che applica patch in sequenza cronologica o per severità nominale è in crisi strutturale. La risposta non sta nell'automazione indiscriminata ma in un triaggio fondato sulla threat intelligence attiva: cosa viene sfruttato, da chi, con quale accesso al mio perimetro.

Le due zero-day confermate da Mandiant e Microsoft DART hanno un tratto in comune: entrambe sono state scoperte durante risposte a incidenti reali, non audit proattivi. Questo conferma che il vantaggio dell'attaccante persiste nel gap tra scoperta della vulnerabilità e applicazione della patch. Con MDASH che accorcia la prima fase, il secondo diventa il vero campo di battaglia.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. bleepingcomputer.com
  2. securityweek.com
  3. byteiota.com
  4. msrc.microsoft.com