Il secondo martedì di maggio ha portato con sé il consueto appuntamento con il Patch Tuesday Microsoft, che questo mese conta 120 vulnerabilità corrette su prodotti e componenti dell’ecosistema Windows. La buona notizia, almeno sul fronte della gestione dell’emergenza immediata, è l’assenza di zero-day e ciò significa che nessuna delle falle incluse nel pacchetto risulta sfruttata attivamente prima del rilascio della patch, né era stata divulgata pubblicamente in anticipo.

Il quadro generale rimane comunque impegnativo per i team di sicurezza aziendale. Delle 120 vulnerabilità indirizzate, 17 sono classificate come critiche, una soglia che richiede attenzione prioritaria nella pianificazione degli aggiornamenti. La distribuzione per tipologia vede un netto predominio delle falle legate all’elevazione dei privilegi, che da sole rappresentano 61 casi, seguite da 31 vulnerabilità di remote code execution e 14 di information disclosure. Completano il quadro 13 falle di spoofing, 8 di denial of service e 6 di bypass delle funzionalità di sicurezza.

Il conteggio non include invece le correzioni rilasciate da Microsoft nel corso del mese su prodotti come Azure, Copilot, Microsoft Teams e Partner Center, né le 131 vulnerabilità nel motore Chromium sottostante a Microsoft Edge che sono state risolte da Google. Il numero reale di aggiornamenti di sicurezza nell’ecosistema Microsoft per il mese di maggio è quindi sensibilmente più alto di quanto il Patch Tuesday formale lasci intendere.

Office, Word ed Excel: il rischio arriva dagli allegati

Tra le aree che meritano la massima priorità di intervento c’è la suite Microsoft Office. Il pacchetto di maggio include diverse correzioni per vulnerabilità in Word ed Excel che, se sfruttate, consentono l’esecuzione di codice remoto sul sistema della vittima. Il vettore di attacco è quello classicamente più insidioso in ambito enterprise, ovvero l’apertura di un file malevolo ricevuto come allegato.

screenshot-nvd.nist.gov-2026.05.14-10_07_54

L’elemento che rende queste falle particolarmente pericolose in un contesto aziendale è la possibilità di sfruttamento tramite il pannello di anteprima di Outlook. Non è necessario aprire il documento, ma basta selezionarlo nella casella di posta per esporre il sistema all’attacco. Per qualsiasi organizzazione in cui la ricezione di allegati è parte della routine quotidiana (quindi praticamente tutte) l’aggiornamento di Microsoft Office deve essere trattato come priorità assoluta.

Le tre vulnerabilità da tenere d’occhio

Oltre al fronte Office, tre specifiche CVE meritano un approfondimento per le loro implicazioni infrastrutturali.

La prima è la CVE-2026-35421, una vulnerabilità di remote code execution nel componente Windows GDI che può essere attivata semplicemente aprendo un file Enhanced Metafile (EMF) con Microsoft Paint. La superficie di attacco può sembrare limitata, ma i file EMF circolano frequentemente in contesti grafici e documentali aziendali, spesso senza che gli utenti ne siano consapevoli.

La seconda è la CVE-2026-41089 e riguarda un overflow del buffer in Windows Netlogon. Un malintenzionato potrebbe inviare una richiesta di rete appositamente manipolata a un server Windows che funge da controller di dominio. Se l’operazione andasse a buon fine, il servizio Netlogon potrebbe gestire la richiesta in modo errato, consentendo potenzialmente al malintenzionato di eseguire codice sul sistema interessato senza dover effettuare l’accesso o disporre di un accesso precedente.

La terza e più sofisticata è la CVE-2026-41096, che colpisce il Windows DNS Client. Un server DNS controllato dall’attaccante può inviare una risposta DNS artefatta a un sistema Windows vulnerabile, inducendo il client a elaborarla in modo scorretto e a corrompere la memoria del processo. Il risultato è la possibilità di eseguire codice arbitrario da remoto, senza che la vittima compia alcuna azione esplicita oltre alla normale risoluzione di nomi di dominio. In ambienti dove il traffico DNS non è filtrato o ispezionato, questa falla rappresenta un rischio concreto e non teorico.