Il Patch Tuesday di giugno segna un nuovo punto di svolta nella gestione della sicurezza Microsoft, con numeri che fino a poco tempo fa sarebbero sembrati difficili da sostenere su base mensile. L’azienda ha infatti corretto ben 206 vulnerabilità (CVE), di cui 38 classificate come critiche. Un volume che non solo supera quello già consistente di maggio, ma che stabilisce anche un record assoluto per l’ultimo decennio.

Il dato più interessante, tuttavia, non è soltanto quantitativo, ma il contesto in cui queste vulnerabilità emergono e vengono risolte. Se nel mese precedente Microsoft aveva dichiarato esplicitamente l’utilizzo di sistemi AI per individuare una parte significativa dei bug, questa volta manca una conferma ufficiale. È difficile però immaginare che l’intelligenza artificiale non abbia avuto un ruolo rilevante, considerando la traiettoria crescente e la velocità con cui nuove falle vengono identificate.

Secondo diversi analisti del settore, il numero totale di CVE pubblicate da Microsoft nel 2026 ha già superato l’intero volume registrato nel 2018, un confronto che rende immediatamente percepibile la scala del cambiamento.

Tra le vulnerabilità corrette, tre erano già di dominio pubblico prima del rilascio delle patch, un dettaglio che aggiunge ulteriore urgenza agli aggiornamenti. Una di queste riguarda HTTP.sys ed è legata a un attacco denial-of-service soprannominato “HTTP/2 Bomb”, sviluppato combinando tecniche note con il supporto di strumenti AI. Il meccanismo sfrutta la compressione degli header HTTP/2 per saturare rapidamente la memoria del server, portandolo al crash. Microsoft è intervenuta introducendo un nuovo parametro di configurazione che limita il numero di header accettati, mitigando l’impatto dell’attacco.

Crediti: Shutterstock

Crediti: Shutterstock

Un’altra vulnerabilità particolarmente delicata coinvolge BitLocker e consente, in presenza di accesso fisico al dispositivo, di aggirare la cifratura e accedere ai dati. La terza falla già nota riguarda il framework CTFMON di Windows e permette un’escalation dei privilegi fino al livello SYSTEM. In scenari reali, questo tipo di accesso apre la porta a compromissioni complete del sistema, con possibilità di movimento laterale all’interno della rete e distribuzione di malware.

Accanto a queste, emergono due vulnerabilità critiche con punteggio CVSS 9.8 che meritano attenzione immediata. La prima interessa il kernel Windows e consente esecuzione di codice remoto senza autenticazione né interazione utente, sfruttando la gestione dei pacchetti TCP/IP. Anche se classificata da Microsoft come meno probabile da sfruttare, la comunità di sicurezza tende a considerare questi bug come priorità assolute, soprattutto nelle fasi immediatamente successive al rilascio delle patch, quando iniziano le attività di reverse engineering.

La seconda vulnerabilità critica coinvolge nuovamente HTTP.sys e presenta caratteristiche ancora più preoccupanti. Può essere attivata da remoto senza alcuna azione da parte dell’utente e interessa componenti ampiamente utilizzati nei servizi Windows esposti su rete. In scenari concreti, un exploit riuscito potrebbe tradursi nel controllo completo del server, con impatti che spaziano dall’interruzione dei servizi al furto di dati.

Il quadro complessivo suggerisce che il settore stia entrando in una fase di “iper-produzione” di vulnerabilità e patch, alimentata anche dall’uso crescente dell’intelligenza artificiale sia in ambito difensivo, sia offensivo. Se da un lato gli strumenti automatizzati permettono di individuare falle con maggiore efficacia, dall’altro aumentano il carico operativo su chi deve validare, testare e distribuire aggiornamenti in tempi sempre più stretti.

(Immagine in apertura: Shutterstock)