Microsoft rilascia il secondo più grande aggiornamento Patch Tuesday della storia: 165 vulnerabilità risolte

Microsoft ha risolto 165 vulnerabilità nei suoi prodotti e sistemi, inclusa una zero-day attivamente sfruttata in Microsoft Office SharePoint, nell'aggiornamento di giugno del Patch Tuesday.

«Secondo i miei calcoli, si tratta del secondo più grande rilascio mensile nella storia di Microsoft», ha dichiarato Dustin Childs, responsabile della consapevolezza delle minacce presso la Zero Day Initiative di Trend Micro, in un post pubblicato martedì.

Microsoft non ha fornito una spiegazione ufficiale sull'aumento delle patch, ma Childs ha sottolineato che molti programmi di segnalazione delle vulnerabilità stanno registrando un incremento significativo delle segnalazioni, anche grazie all'uso di strumenti di intelligenza artificiale. «Per noi, il tasso di arrivo è triplicato, rendendo la triage una vera sfida», ha aggiunto.

La vulnerabilità zero-day, identificata come CVE-2026-32201 con un punteggio CVSS di 6.5, consente agli attaccanti di visualizzare e modificare informazioni sensibili. Microsoft ha spiegato che il difetto, dovuto a una mancata convalida dell'input in Microsoft Office SharePoint, permette agli attaccanti non autenticati di eseguire attacchi di spoofing tramite la rete.

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto la zero-day al suo catalogo delle vulnerabilità sfruttate poco dopo la divulgazione di Microsoft.

Oltre a questa, Microsoft ha risolto anche una vulnerabilità ad alta gravità, identificata come CVE-2026-33825, già nota al momento del rilascio. Il difetto in Microsoft Defender, secondo il vendor, è più probabile che venga sfruttato e potrebbe consentire agli attaccanti non autorizzati di elevare i privilegi localmente.

«Un punto di appoggio iniziale può rapidamente trasformarsi in un controllo completo del sistema», ha dichiarato Jack Bicer, direttore della ricerca sulle vulnerabilità di Action1, in un post dedicato alla vulnerabilità. «Una volta sfruttata, permette il controllo completo degli endpoint, abilitando l'esfiltrazione dei dati, la disabilitazione degli strumenti di sicurezza e il movimento laterale all'interno delle reti».

Bicer ha aggiunto che il codice proof-of-concept per lo sfruttamento del difetto è già disponibile pubblicamente, aumentando il rischio di attacchi reali.

Microsoft ha inoltre segnalato due vulnerabilità critiche questo mese: CVE-2026-33824, che colpisce l'estensione Windows IKE, e CVE-2026-26149, che interessa Microsoft Power Apps. Tuttavia, l'azienda ha indicato che entrambe sono meno probabili che vengano sfruttate.

Secondo Microsoft, oltre il 75% delle vulnerabilità risolte questo mese sono considerate poco probabili da essere sfruttate. Tuttavia, 19 di esse sono state classificate come più probabili di essere oggetto di attacchi.

L'elenco completo delle vulnerabilità risolte è disponibile sul Microsoft Security Response Center.