Quello di domani 12 maggio 2026 non sarà un Patch Tuesday come gli altri. Per i team di sicurezza e i CISO che gestiscono parchi macchina enterprise, questa finestra mensile di aggiornamento coincide infatti con una scadenza concreta e non prorogabile. I certificati Secure Boot UEFI 2023 devono essere distribuiti prima del 26 giugno 2026, data oltre la quale i dispositivi Windows non aggiornati entreranno in uno stato di sicurezza strutturalmente degradato.

I certificati originali emessi nel 2011 che governano il processo di avvio protetto di Windows stanno per scadere e sia il database UEFI Secure Boot DB, sia la Key Encryption Key (KEK) devono essere aggiornati alle versioni corrispondenti del nuovo certificato 2023 per mantenere la catena di fiducia intatta. Dal 12 maggio al 26 giugno restano 45 giorni netti, una finestra teoricamente sufficiente ma che nella pratica, considerando i cicli di test, la gestione degli endpoint non connessi alla rete aziendale e le procedure di approvazione interne, rappresenta un margine minimo per organizzazioni con parchi macchina distribuiti.

Attendere il Patch Tuesday del mese prossimo previsto per il 9 giugno significherebbe comprimere ulteriormente il margine a meno di tre settimane, un tempo insufficiente per la maggior parte delle realtà enterprise. Ecco perché quella del 12 maggio è la finestra prioritaria per completare la distribuzione dei nuovi certificati prima che l’expiration trasformi un problema di pianificazione in un’emergenza operativa.

Al centro del rollup di maggio c’è anche la gestione di una famiglia di vulnerabilità su Microsoft Defender che ha già prodotto sfruttamento attivo confermato. La CVE-2026-33825, nome in codice Bluehammer, è una Local Privilege Escalation che consente a un utente non privilegiato di ottenere diritti SYSTEM su macchine Windows 10 e Windows 11 completamente aggiornate.

Windows Secure Boot

Il proof-of-concept funzionante è stato rilasciato pubblicamente da un ricercatore noto come Chaotic Eclipse prima che esistesse una patch ufficiale e il 22 aprile la CISA ha aggiunto CVE-2026-33825 al proprio catalogo KEV, imponendo alle agenzie federali statunitensi la correzione entro il 6 maggio. Microsoft ha già indirizzato Bluehammer negli aggiornamenti di aprile, ma le vulnerabilità sorelle RedSun e UnDefend, che permette di bloccare l’aggiornamento delle definizioni antivirus inducendo una condizione di denial-of-service sul motore di difesa, risultavano ancora prive di patch pubblica equivalente al momento della disclosure. Il Patch Tuesday di maggio rappresenta quindi l’occasione attesa per chiudere anche questi vettori.

Tra i fix attesi nell’update di maggio rientra anche la versione ufficiale consolidata della patch out-of-band per CVE-2026-40372, una vulnerabilità con CVSS 9.1 che riguarda il componente Data Protection di ASP.NET Core. Il bug è stato introdotto involontariamente nel rilascio di aprile con .NET 10.0.6 e corretto d’emergenza il 21 aprile con la versione 10.0.7 del pacchetto NuGet Microsoft.AspNetCore.DataProtection.

La natura della vulnerabilità è particolarmente insidiosa, visto che una validazione HMAC difettosa consente di forgiare cookie di sessione, chiavi API e link di reset password che superano i controlli di autenticità, con il rischio che i token malevoli eventualmente emessi durante la finestra di esposizione rimangano validi anche dopo il patching, a meno di una rotazione esplicita delle chiavi Data Protection. Per le organizzazioni che espongono applicazioni ASP.NET Core su Internet, verificare di avere eseguito non solo l’aggiornamento del pacchetto ma anche la rotazione delle chiavi e l’invalidazione delle sessioni attive è un passaggio che non può essere ignorato.

La convergenza di questi tre elementi nello stesso ciclo mensile rende il Patch Tuesday del 12 maggio una priorità di pianificazione da comunicare chiaramente anche ai livelli di management. Per i responsabili IT e di sicurezza delle aziende il piano d’azione minimo si articola su due fronti paralleli:

  • Avviare immediatamente l’inventario dei dispositivi che non hanno ancora ricevuto i certificati UEFI 2023 tramite Windows Update o aggiornamenti firmware del produttore
  • Verificare contestualmente quali ambienti di sviluppo o produzione espongono applicazioni ASP.NET Core con dipendenze sul pacchetto DataProtection nelle versioni vulnerabili