Microsoft Patch Tuesday di luglio: record di 622 falle e tre zero-day, due sfruttati attivamente

Microsoft continua a riscrivere i record del Patch Tuesday e, dopo il già eccezionale aggiornamento del mese scorso che aveva corretto 206 vulnerabilità, l’azienda di Redmond ha distribuito un nuovo pacchetto di sicurezza che porta il numero complessivo delle falle corrette a ben 622, oltre il triplo rispetto al precedente primato. A queste si aggiungono anche 428 vulnerabilità di Chromium che interessano Microsoft Edge ma non rientrano nel conteggio ufficiale, rendendo questo aggiornamento uno dei più impegnativi mai affrontati dagli amministratori di sistema.
Il bollettino comprende 58 vulnerabilità classificate come critiche, mentre due risultano già sfruttate attivamente dagli attaccanti. Una terza è stata resa pubblica prima del rilascio delle patch, aumentando il rischio che venga rapidamente integrata nelle campagne di attacco. L’impressionante volume di correzioni alimenta inoltre un dibattito sempre più acceso nella comunità della sicurezza informatica. Molti ricercatori ritengono infatti che l’impiego crescente dell’AI nella ricerca automatizzata delle vulnerabilità stia contribuendo a far aumentare in modo significativo il numero di bug individuati. Microsoft non ha specificato quanto l’AI abbia inciso sull’individuazione delle falle corrette questo mese, ma è evidente che la quantità di vulnerabilità scoperte continua a crescere a ritmi senza precedenti.
Tra i problemi più urgenti figurano due falle già utilizzate negli attacchi reali. La prima, identificata come CVE-2026-56155, interessa Active Directory Federation Services (ADFS) e consente un’escalation dei privilegi. La vulnerabilità deriva da controlli di accesso insufficientemente granulari e permette a un utente già presente sul sistema di ottenere privilegi amministrativi. Pur richiedendo un accesso locale, la disponibilità di exploit attivi rende prioritario l’aggiornamento degli ambienti interessati.
La seconda vulnerabilità già sfruttata, CVE-2026-56164, riguarda invece Microsoft SharePoint. In questo caso il problema è causato dall’assenza di adeguati controlli di autenticazione per una funzione critica della piattaforma. Un aggressore presente sulla rete potrebbe così aumentare i propri privilegi all’interno di SharePoint senza essere correttamente autorizzato. Anche se il punteggio CVSS è relativamente contenuto, la presenza di attacchi in corso rende indispensabile installare tempestivamente le correzioni.
Microsoft ha inoltre corretto una vulnerabilità già resa pubblica ma, almeno per il momento, non ancora sfruttata. Si tratta della CVE-2026-50661, che interessa BitLocker e permette di aggirare fisicamente alcune delle protezioni offerte dal sistema di cifratura dei dischi. L’attacco richiede comunque l’accesso diretto al dispositivo. Tra le vulnerabilità critiche spicca una falla particolarmente grave che coinvolge Microsoft Copilot. La CVE-2026-48561, con un punteggio CVSS pari a 9,6, consente l’esecuzione di codice remoto sfruttando un’insufficiente sanitizzazione degli input. Secondo Microsoft, un aggressore potrebbe predisporre un sito web malevolo capace di indurre le funzionalità integrate di Copilot presenti nei sistemi Windows a elaborare richieste appositamente costruite, eseguendo codice senza che l’utente se ne accorga.
Anche Microsoft Exchange è interessato da una vulnerabilità critica. La CVE-2026-55008, anch’essa con CVSS 9,6, permette di effettuare attacchi di spoofing e di eseguire codice JavaScript arbitrario tramite email appositamente predisposte. Il problema nasce da una gestione non corretta degli input e potrebbe essere sfruttato semplicemente inviando un messaggio di posta elettronica contenente codice malevolo.
Particolarmente corposo è anche l’elenco delle vulnerabilità che interessano Microsoft Office. Il bollettino comprende ben sedici falle di esecuzione di codice remoto distribuite tra la suite Office e le applicazioni collegate. Le cause sono diverse e comprendono buffer overflow, errori nella gestione della memoria e vulnerabilità di tipo use-after-free, tutte in grado di consentire l’esecuzione di codice dannoso attraverso documenti opportunamente modificati.
Il Patch Tuesday di luglio non riguarda però soltanto Microsoft. Anche Adobe ha pubblicato un importante ciclo di aggiornamenti che corregge 64 vulnerabilità distribuite tra sette diversi prodotti, mentre Broadcom ha corretto sette vulnerabilità nel proprio Avi Load Balancer, comprese falle che consentono bypass dell’autenticazione, esecuzione di codice remoto ed escalation dei privilegi. Infine, SAP ha pubblicato sedici aggiornamenti di sicurezza, tra i quali spiccano vulnerabilità critiche in NetWeaver Application Server ABAP, SAP Approuter e SAP Commerce Cloud, alcune delle quali raggiungono un punteggio CVSS di 9,9.

