{"id":337,"date":"2026-06-23T00:00:00","date_gmt":"2026-06-23T00:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/?p=337"},"modified":"2026-06-23T04:48:56","modified_gmt":"2026-06-23T04:48:56","slug":"microsoft-patch-tuesday-maggio-2026-cve-2026-41089","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/microsoft-patch-tuesday-maggio-2026-cve-2026-41089\/","title":{"rendered":"Microsoft Patch Tuesday Maggio 2026: CVE-2026-41089 CVSS 9.8, 118 Falle e Active Directory a Rischio"},"content":{"rendered":"\n

Il 12 maggio 2026<\/strong> Microsoft ha rilasciato il suo aggiornamento mensile di sicurezza, il Patch Tuesday, correggendo 118 vulnerabilit\u00e0<\/strong> nei sistemi Windows e in altri prodotti Microsoft. Tra queste spicca CVE-2026-41089<\/strong>, un buffer overflow critico nel servizio Windows Netlogon con punteggio CVSS 9.8<\/strong> che permette a un attaccante non autenticato di ottenere privilegi SYSTEM su un Domain Controller e, di conseguenza, compromettere l’intera infrastruttura di Active Directory aziendale. Il 29 maggio il Centre for Cybersecurity Belgium (CCB) ha emesso un’allerta di sfruttamento attivo in the wild, rendendo questo CVE una delle emergenze pi\u00f9 urgenti per le aziende italiane ed europee del 2026.<\/p>\n\n\n\n

Patch Tuesday Maggio 2026: 118 CVE e Zero Zero-Day per la Prima Volta da Giugno 2024<\/h2>\n\n\n\n

Il rilascio di maggio 2026 \u00e8 stato uno dei pi\u00f9 significativi dell’anno. Microsoft ha corretto 118 vulnerabilit\u00e0<\/strong> nei soli prodotti core Windows e Microsoft (se si includono Edge e le librerie Chromium, il numero sale a 137-138 secondo lo Zero Day Initiative e SANS Internet Storm Center). Per la prima volta da giugno 2024, nessuno dei CVE corretti risultava gi\u00e0 sfruttato attivamente o divulgato pubblicamente al momento del rilascio.<\/p>\n\n\n\n

La distribuzione per categoria \u00e8 significativa: 31 vulnerabilit\u00e0 di tipo Remote Code Execution<\/strong>, 61 Elevation of Privilege<\/strong>, 13 Spoofing, 14 Information Disclosure, 8 Denial-of-Service e 6 Security Feature Bypass. Sedici CVE hanno ricevuto la classificazione Critical<\/strong> da Microsoft, mentre 102 sono stati etichettati come Important. Le analisi di Zero Day Initiative e CrowdStrike hanno contato rispettivamente 30 vulnerabilit\u00e0 critiche, includendo quelle nei componenti Chromium di Edge.<\/p>\n\n\n\n

I prodotti colpiti spaziano da Windows OS (dalla versione Server 2012 ai desktop Windows 11) a Microsoft Office, SharePoint Server, Azure Managed Instance for Apache Cassandra, Hyper-V, Dynamics 365, DNS Client e perfino il client Telnet. Arctic Wolf ha prioritizzato nelle proprie raccomandazioni i CVE CVE-2026-42898<\/strong>, CVE-2026-41089<\/strong>, CVE-2026-40403<\/strong> e CVE-2026-33109<\/strong> come gli aggiornamenti da applicare con la massima urgenza.<\/p>\n\n\n\n

CVE-2026-41089: Buffer Overflow in Windows Netlogon, Domain Controller Esposti al Rischio Totale<\/h2>\n\n\n\n

CVE-2026-41089<\/strong> \u00e8 la vulnerabilit\u00e0 pi\u00f9 pericolosa del Patch Tuesday di maggio 2026 per le organizzazioni che utilizzano Active Directory. Si tratta di uno stack-based buffer overflow<\/strong> (CWE-121) nel servizio Windows Netlogon che consente a un attaccante remoto non autenticato di eseguire codice arbitrario con privilegi SYSTEM sul Domain Controller bersaglio, senza richiedere alcuna autenticazione, interazione dell’utente o accesso privilegiato.<\/p>\n\n\n\n

Il punteggio CVSS 3.1 assegnato \u00e8 9.8\/10 Critical<\/strong>, con vettore completo AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H<\/code>. Questo significa: attacco via rete, complessit\u00e0 bassa, nessun privilegio richiesto, nessuna interazione utente, impatto alto su riservatezza, integrit\u00e0 e disponibilit\u00e0. Il CVE colpisce tutte le versioni di Windows Server configurate come Domain Controller, da Windows Server 2012 fino a Windows Server 2025.<\/p>\n\n\n\n

La vulnerabilit\u00e0 \u00e8 stata identificata e segnalata a Microsoft dagli analisti di Rapid7<\/strong>, che nella loro analisi del Patch Tuesday l’hanno definita come il flaw pi\u00f9 preoccupante del mese: “un critical stack-based buffer overflow in Windows Netlogon che offre a un attaccante privilegi SYSTEM sul Domain Controller. Non sono richiesti privilegi o interazione da parte dell’utente, e la complessit\u00e0 dell’attacco \u00e8 bassa.” Rapid7 ha curato gran parte del lavoro di identificazione dei CVE critici di questo mese, come riportato da Brian Krebs su Krebs on Security.<\/p>\n\n\n\n

Come Funziona l’Attacco: CLDAP, LSASS e il Percorso verso il Forest Takeover<\/h3>\n\n\n\n

Il meccanismo tecnico dell’exploit di CVE-2026-41089 \u00e8 stato documentato in dettaglio da diversi team di ricerca. Il servizio Netlogon elabora richieste di autenticazione per i client del dominio. Quando riceve una richiesta di rete appositamente costruita<\/strong>, un buffer di dimensione fissa sullo stack viene sopraffatto durante la costruzione della risposta. Questo overflow corrompe la memoria nel processo LSASS<\/strong> (Local Security Authority Subsystem Service), che gira sul Domain Controller con i massimi privilegi.<\/p>\n\n\n\n

Un attacco riuscito consegna all’attaccante l’esecuzione di codice come account SYSTEM<\/strong>, ereditando di fatto l’identit\u00e0 completa del Domain Controller. Da questo punto, il compromesso pu\u00f2 espandersi a tutta la foresta Active Directory<\/strong>: l’attaccante ha accesso agli hash delle credenziali di tutti gli utenti del dominio, pu\u00f2 creare nuovi account privilegiati, modificare Group Policy Objects e muoversi lateralmente verso ogni sistema membro del dominio. Gli analisti di Automox hanno sottolineato nel loro rapporto che “all’interno di un perimetro gi\u00e0 compromesso, questo diventa un percorso rapido verso il takeover dell’intera foresta.”<\/p>\n\n\n\n

I tentativi di exploit falliti causano frequentemente il crash di LSASS, provocando il riavvio del Domain Controller e creando una condizione di Denial-of-Service per l’intero layer di autenticazione. Questo significa che anche senza un exploit riuscito, il semplice tentativo di sfruttamento pu\u00f2 rendere inaccessibile l’intera infrastruttura aziendale. I team ATT&CK di MITRE classificano queste tecniche come T1190 (Exploit Public-Facing Application), T1210 (Exploitation of Remote Services) e T1068 (Exploitation for Privilege Escalation).<\/p>\n\n\n\n

Il Codice PoC su GitHub e la Diffusione del Rischio<\/h3>\n\n\n\n

A partire dalla fine di maggio 2026, codice proof-of-concept<\/strong> per CVE-2026-41089 ha iniziato a circolare pubblicamente, incluso su GitHub (repository 0xBlackash\/CVE-2026-41089). Microsoft nella sua advisory originale del 12 maggio aveva classificato la probabilit\u00e0 di sfruttamento come “Exploitation Less Likely,” un’indicazione che al momento del rilascio non esistevano exploit funzionanti noti. L’emergere di PoC pubblici ha cambiato radicalmente il profilo di rischio nelle settimane successive.<\/p>\n\n\n\n

Gli esperti di Tanium hanno chiarito che nonostante la gravit\u00e0 estrema, Microsoft non ha etichettato CVE-2026-41089 come “wormable” nel senso tecnico del termine, a differenza di EternalBlue\/MS17-010. Questo perch\u00e9 il buffer overflow non si auto-propaga in modo autonomo attraverso le reti, ma richiede comunque un vettore di accesso iniziale alla rete locale o alla VPN aziendale. Ciononostante, in un ambiente enterprise tipico dove i Domain Controller sono accessibili da tutti i segmenti della rete interna, la diffusione laterale \u00e8 concretamente possibile.<\/p>\n\n\n\n

L’Allerta del Centre for Cybersecurity Belgium: Sfruttamento Confermato il 29 Maggio<\/h2>\n\n\n\n

Il 29 maggio 2026<\/strong>, il Centre for Cybersecurity Belgium (CCB), l’agenzia governativa belga per la sicurezza informatica equivalente alla nostra ACN, ha emesso un avviso di sicurezza urgente: attaccanti stano sfruttando attivamente CVE-2026-41089 contro Windows Server configurati come Domain Controller. Il CCB ha confermato che l’exploit prendeva di mira sistemi Windows Server nelle versioni 2012 e successive, e ha esortato le organizzazioni ad applicare immediatamente la patch di maggio.<\/p>\n\n\n\n

La tempistica \u00e8 emblematica: tra il 12 maggio (rilascio della patch) e il 29 maggio (conferma dello sfruttamento attivo) sono passati solo 17 giorni<\/strong>. Questo finestra temporale, nota nel settore come “exploit window,” rappresenta il periodo critico entro cui le organizzazioni devono riuscire a patchare i propri sistemi prima che gli attaccanti sviluppino exploit funzionanti e li utilizzino contro bersagli reali.<\/p>\n\n\n\n

La copertura mediatica europea del CVE \u00e8 stata significativa, con le principali agenzie di cybersecurity di Francia, Germania e Paesi Bassi che hanno ampliato le allerte del CCB verso i propri ecosistemi aziendali. In Italia, il contesto \u00e8 particolarmente delicato: secondo il Clusit Report 2026<\/a>, l’Italia ha subito 507 attacchi informatici significativi, posizionandosi prima in Europa per numero di incidenti. I Domain Controller Windows sono la dorsale delle infrastrutture IT di migliaia di aziende italiane, dalle PMI alle grandi aziende e agli enti pubblici.<\/p>\n\n\n\n

Gli Altri CVE Critici del Patch Tuesday Maggio 2026<\/h2>\n\n\n\n

Sebbene CVE-2026-41089 sia la vulnerabilit\u00e0 pi\u00f9 urgente del mese, il Patch Tuesday di maggio 2026 ha incluso altri flaw di gravit\u00e0 estrema che meritano attenzione immediata dalle organizzazioni italiane ed europee.<\/p>\n\n\n\n

CVE-2026-42898<\/strong> \u00e8 la vulnerabilit\u00e0 con il CVSS pi\u00f9 alto dell’intero rilascio: 9.9\/10<\/strong>. Colpisce Microsoft Dynamics 365 on-premises e consente la Remote Code Execution. Le organizzazioni che gestiscono internamente la propria istanza di Dynamics 365 (ERP, CRM, gestione finanziaria) devono applicare immediatamente l’aggiornamento KB5078943. CrowdStrike ha inserito questo CVE tra le priorit\u00e0 assolute del mese.<\/p>\n\n\n\n

CVE-2026-41096<\/strong> rappresenta un’altra minaccia critica con CVSS 9.8<\/strong>: un heap overflow nel Windows DNS Client, componente presente su tutti<\/strong> i sistemi Windows, dal Domain Controller al PC aziendale di un dipendente. Il vettore di attacco richiede che l’attaccante sia in grado di influenzare le risposte DNS ricevute dal sistema bersaglio (tramite attacco Man-in-the-Middle, server DNS malevolo o intercettazione del traffico). Come ha precisato Automox, “un attaccante con una posizione che gli consente di influenzare le risposte DNS potrebbe raggiungere RCE non autenticato su tutta l’azienda.”<\/p>\n\n\n\n

CVE-2026-41103<\/strong> colpisce Microsoft Entra ID (ex Azure Active Directory) con una vulnerabilit\u00e0 di Elevation of Privilege che consente a un attaccante non autorizzato di impersonare utenti esistenti presentando credenziali falsificate. \u00c8 il CVE del mese su cui Microsoft ha espresso la valutazione “More Likely to be Exploited,” segnalando la preoccupazione immediata che attori malevoli lo utilizzino attivamente. Per le organizzazioni che usano Entra ID per l’accesso single sign-on a Microsoft 365, Azure e applicazioni aziendali, questo CVE apre la possibilit\u00e0 di compromettere account senza conoscere le credenziali reali.<\/p>\n\n\n\n

CVE-2026-40402<\/strong> colpisce Microsoft Hyper-V<\/strong> con un CVSS di 9.3<\/strong> e consente a un attaccante con accesso a una macchina virtuale guest di escalare i propri privilegi fino al livello SYSTEM sull’host fisico sottostante. In ambienti cloud privati, data center aziendali e infrastrutture di virtualizzazione, questo CVE permette di sfuggire dall’isolamento della VM e compromettere l’intero server fisico e tutte le VM che vi risiedono.<\/p>\n\n\n\n

Tabella 1: CVE Prioritari di Maggio 2026 Ranked per CVSS<\/h2>\n\n\n\n
CVE<\/th>Prodotto Colpito<\/th>Tipo<\/th>CVSS<\/th>Auth Richiesta<\/th>Sfruttamento Attivo<\/th><\/tr><\/thead>
CVE-2026-42898<\/td>Microsoft Dynamics 365 (on-prem)<\/td>RCE<\/td>9.9<\/td>No<\/td>CCB confermato<\/td><\/tr>
CVE-2026-41089<\/td>Windows Netlogon (DC)<\/td>RCE \/ SYSTEM<\/td>9.8<\/td>No<\/td>CCB confermato (29 mag)<\/td><\/tr>
CVE-2026-41096<\/td>Windows DNS Client<\/td>RCE<\/td>9.8<\/td>No<\/td>Less Likely (Microsoft)<\/td><\/tr>
CVE-2026-40402<\/td>Microsoft Hyper-V<\/td>EoP \/ Host Escape<\/td>9.3<\/td>Guest VM<\/td>Less Likely<\/td><\/tr>
CVE-2026-41103<\/td>Microsoft Entra ID<\/td>EoP \/ Impersonation<\/td>N\/A Critical<\/td>No<\/td>More Likely (Microsoft)<\/td><\/tr>
CVE-2026-40365<\/td>SharePoint Server<\/td>RCE<\/td>8.x<\/td>Utente autenticato<\/td>Less Likely<\/td><\/tr>
CVE-2026-40358\/63<\/td>Microsoft Office<\/td>RCE<\/td>8.4<\/td>Locale (file aperto)<\/td>Less Likely<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Impatto sulle Aziende Italiane ed Europee: Active Directory come Bersaglio Strategico<\/h2>\n\n\n\n

Active Directory \u00e8 la tecnologia di gestione delle identit\u00e0 pi\u00f9 diffusa nelle aziende italiane ed europee. Secondo le stime del settore, oltre il 90% delle aziende Fortune 500 usa Active Directory<\/strong>, e la penetrazione nelle PMI italiane \u00e8 ugualmente elevata: quasi ogni organizzazione con pi\u00f9 di 20 dipendenti gestisce un Domain Controller Windows. Questo rende CVE-2026-41089 una minaccia sistemica per l’intero tessuto produttivo italiano.<\/p>\n\n\n\n

Il contesto si aggrava considerando le implicazioni ai sensi del GDPR<\/strong>. Un compromesso di un Domain Controller non \u00e8 semplicemente una violazione tecnica: consente l’accesso non autorizzato a tutti i dati dell’organizzazione, inclusi quelli personali di dipendenti e clienti. In base all’Articolo 33 del GDPR, le organizzazioni hanno l’obbligo di notificare le autorit\u00e0 di controllo (in Italia, il Garante per la Privacy<\/strong>) entro 72 ore<\/strong> dalla scoperta di una violazione. Un attacco che sfrutta CVE-2026-41089 per ottenere pieno controllo dell’Active Directory aziendale costituisce quasi certamente una violazione che richiede notifica obbligatoria, con sanzioni potenziali fino al 4% del fatturato globale annuo.<\/p>\n\n\n\n

La situazione \u00e8 aggravata dal fatto che molte organizzazioni italiane, specialmente nel settore pubblico e nelle PMI, mantengono ancora Windows Server 2012 e 2012 R2 in produzione come Domain Controller. Queste versioni sono vulnerabili a CVE-2026-41089 e, sebbene Microsoft abbia rilasciato patch anche per queste versioni, il ciclo di aggiornamento nelle PA italiane pu\u00f2 richiedere settimane o mesi a causa di procedure di change management complesse. Come evidenziato dalla recente indagine sul EU Cybersecurity Act 2.0<\/a>, la maturit\u00e0 della cybersecurity nelle infrastrutture critiche europee \u00e8 ancora disomogenea.<\/p>\n\n\n\n

Per i gruppi ransomware, un Domain Controller compromesso tramite CVE-2026-41089 \u00e8 il punto di partenza ideale per un attacco devastante. Secondo il Fortinet Threat Report 2026<\/a>, gli attacchi ransomware sono aumentati del 389% e la compromissione di Active Directory \u00e8 la tecnica pi\u00f9 comune per la propagazione rapida del payload in tutta la rete aziendale prima della cifratura.<\/p>\n\n\n\n

Confronto Storico: CVE-2026-41089 vs EternalBlue (MS17-010)<\/h2>\n\n\n\n

Il paragone con EternalBlue<\/strong> (MS17-010) \u00e8 inevitabile quando si discute di CVE-2026-41089. Entrambe le vulnerabilit\u00e0 condividono caratteristiche fondamentali: RCE remota non autenticata in un componente core di Windows, punteggio CVSS critico, vettore di attacco di rete. EternalBlue, sviluppato dall’NSA e poi rubato e pubblicato dal gruppo Shadow Brokers nel 2017, ha dato origine a WannaCry e NotPetya, due degli attacchi cyber pi\u00f9 devastanti della storia, con danni stimati rispettivamente in oltre 4 miliardi e 10 miliardi di dollari.<\/p>\n\n\n\n

Caratteristica<\/th>EternalBlue (MS17-010)<\/th>CVE-2026-41089<\/th><\/tr><\/thead>
Componente colpito<\/td>SMBv1<\/td>Windows Netlogon<\/td><\/tr>
CVSS Score<\/td>9.8<\/td>9.8<\/td><\/tr>
Autenticazione richiesta<\/td>No<\/td>No<\/td><\/tr>
Interazione utente<\/td>No<\/td>No<\/td><\/tr>
Classificato wormable<\/td>S\u00ec<\/td>No (Microsoft)<\/td><\/tr>
Sistemi primari a rischio<\/td>Tutti i PC Windows con SMBv1<\/td>Windows Server Domain Controller<\/td><\/tr>
Impatto primario<\/td>RCE laterale su tutti i sistemi SMBv1<\/td>SYSTEM su DC, foresta AD compromessa<\/td><\/tr>
Exploit noto in 2026<\/td>Multipli (EternalBlue, DoublePulsar)<\/td>PoC su GitHub (fine maggio 2026)<\/td><\/tr>
Danno economico stimato<\/td>$14 miliardi (WannaCry + NotPetya)<\/td>Da stimare<\/td><\/tr>
Patch disponibile al rilascio<\/td>S\u00ec (MS17-010, marzo 2017)<\/td>S\u00ec (maggio 2026)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La differenza principale sta nella “wormability”: EternalBlue si propagava autonomamente da sistema a sistema attraverso il protocollo SMB su porta 445, scansionando la rete alla ricerca di nuovi bersagli vulnerabili. CVE-2026-41089 non ha questo comportamento auto-propagante, ma il suo impatto su Active Directory \u00e8 potenzialmente ancora pi\u00f9 catastrofico: invece di compromettere singoli PC, consegna all’attaccante le chiavi dell’intero dominio aziendale, con accesso a tutti i sistemi, tutti gli utenti e tutti i dati.<\/p>\n\n\n\n

Le Quote degli Esperti: il Settore Mette in Guardia<\/h2>\n\n\n\n

I principali vendor e ricercatori di cybersecurity hanno reagito rapidamente alla pubblicazione di CVE-2026-41089, sottolineando la necessit\u00e0 di un patching immediato.<\/p>\n\n\n\n

Rapid7<\/strong>, che ha identificato la vulnerabilit\u00e0, l’ha descritta nel suo Patch Tuesday Analysis come “un critical stack-based buffer overflow in Windows Netlogon che offre a un attaccante privilegi SYSTEM sul Domain Controller. Non sono richiesti privilegi o interazione da parte dell’utente, e la complessit\u00e0 dell’attacco \u00e8 bassa. Le patch sono disponibili per tutte le versioni di Windows Server dalla 2012 in poi.”<\/p>\n\n\n\n

Tenable<\/strong>, nel suo blog di analisi del Patch Tuesday, ha evidenziato la discrepanza tra il CVSS e la valutazione di Microsoft: “Nonostante la gravit\u00e0 critica e un punteggio CVSSv3 quasi perfetto, questo flaw \u00e8 stato classificato da Microsoft come ‘Exploitation Less Likely.'” Una posizione che Tenable ha implicitamente messo in dubbio, ricordando che valutazioni simili in passato non hanno impedito lo sfruttamento rapido una volta che i dettagli tecnici sono emersi.<\/p>\n\n\n\n

Automox<\/strong> ha sintetizzato il rischio operativo in modo diretto nel suo rapporto di analisi: “All’interno di un perimetro gi\u00e0 compromesso, questo diventa un percorso rapido verso il takeover dell’intera foresta. Patchate i vostri Domain Controller. Patchate i vostri kernel.”<\/p>\n\n\n\n

Il Centre for Cybersecurity Belgium (CCB), nell’allerta del 29 maggio, ha precisato che “lo sfruttamento prende di mira Windows Server che agiscono come Domain Controller e che le patch sono disponibili per Windows Server dalla versione 2012 in poi.” Il CCB ha aggiunto che sistemi legacy come Windows Server 2008 R2, fuori supporto ufficiale Microsoft, restano vulnerabili e possono contare solo su micropatch di terze parti come quelle di 0patch\/Acros.<\/p>\n\n\n\n

La risposta della comunit\u00e0 dei sysadmin \u00e8 stata vivace. Sul subreddit r\/sysadmin, la Patch Tuesday Megathread del 12 maggio 2026 ha registrato centinaia di commenti con organizzazioni che si confrontavano sulle strategie di patching d’emergenza per i Domain Controller in produzione, con molti che descrivevano finestre di manutenzione notturne e rollout accelerati gi\u00e0 nelle prime 48 ore dal rilascio.<\/p>\n\n\n\n

Maggio 2026 e la Scoperta di CVE tramite AI: una Svolta Metodologica<\/h2>\n\n\n\n

Il Patch Tuesday di maggio 2026 \u00e8 stato anche il primo in cui due CVE sono stati segnalati attraverso il programma TrendAI ZDI<\/strong>, il sistema di rilevamento vulnerabilit\u00e0 assistito da intelligenza artificiale di Trend Micro e Zero Day Initiative. Questo segna una svolta metodologica nella ricerca delle vulnerabilit\u00e0: l’AI non si limita pi\u00f9 ad assistere i ricercatori umani, ma contribuisce autonomamente all’identificazione di nuovi flaw nel codice.<\/p>\n\n\n\n

Automox ha sottolineato nel suo report che questo mese includeva anche “AI-discovered bugs across all three major operating systems,” segnalando che lo stesso fenomeno si sta replicando per macOS e Linux. Per le organizzazioni che si chiedono come mai il volume mensile di CVE corretti da Microsoft continui ad aumentare anno su anno, la risposta \u00e8 parzialmente in questi nuovi strumenti di analisi automatizzata del codice. Il dato preoccupante \u00e8 che se l’AI white-hat trova questi bug, anche l’AI black-hat potrebbe trovare vulnerabilit\u00e0 simili che nessuno ha ancora scoperto, come analizzato nel report sugli AI Cyberattacks 2026<\/a>.<\/p>\n\n\n\n

I Passi Concreti per la Mitigazione: la Checklist per i Team IT<\/h2>\n\n\n\n

Per CVE-2026-41089 e le altre vulnerabilit\u00e0 critiche di maggio 2026, le azioni di mitigazione seguono un ordine preciso di priorit\u00e0:<\/p>\n\n\n\n

  1. Patching immediato dei Domain Controller<\/strong>: Applicare gli aggiornamenti cumulativi di Windows di maggio 2026 a tutti i server Windows configurati come Domain Controller. I controller di sola lettura (RODC) sono anch’essi da aggiornare. Distribuire tramite WSUS, Windows Update for Business o System Center Configuration Manager (SCCM).<\/li>
  2. Aggiornamento prioritario di Dynamics 365 on-premises<\/strong>: Applicare KB5078943 per CVE-2026-42898 (CVSS 9.9) senza ritardi, poich\u00e9 Microsoft non ha identificato workaround per questo CVE.<\/li>
  3. Blocco del traffico Netlogon non trusted<\/strong>: Implementare regole firewall che limitino l’accesso alla porta Netlogon RPC (tipicamente TCP 135 e porte dinamiche alte) ai soli sistemi autenticati del dominio. Bloccare l’accesso da segmenti di rete non fidati.<\/li>
  4. Monitoraggio di LSASS sui Domain Controller<\/strong>: Abilitare il logging esteso delle richieste Netlogon e configurare alerting su crash di LSASS o riavvii imprevisti del servizio, che potrebbero indicare tentativi di exploit.<\/li>
  5. Verifica configurazione DNS per CVE-2026-41096<\/strong>: Bloccare il traffico DNS in uscita verso resolver non autorizzati. Configurare i client DNS per utilizzare resolver trusted autenticati. In ambienti split-horizon, verificare che nessun client utilizzi un percorso di fallback verso resolver untrusted.<\/li>
  6. Patching dei client Windows per CVE-2026-41096<\/strong>: Questo CVE colpisce il DNS Client di TUTTI i sistemi Windows, non solo i server. Il patching deve estendersi a workstation e laptop aziendali.<\/li>
  7. Review dei log Entra ID per CVE-2026-41103<\/strong>: Abilitare l’audit log completo su Microsoft Entra ID per rilevare tentativi di autenticazione con credenziali forged. Considerare l’abilitazione di Conditional Access aggiuntivo.<\/li>
  8. Inventario Windows Server legacy<\/strong>: Identificare tutti i sistemi Windows Server 2008 R2 e precedenti ancora in produzione come Domain Controller. Questi sistemi non ricevono patch ufficiali Microsoft: valutare la migrazione urgente o l’isolamento di rete.<\/li><\/ol>\n\n\n\n

    La Relazione con il Quadro Normativo Europeo: NIS2 e CVE Foundation<\/h2>\n\n\n\n

    CVE-2026-41089 e il Patch Tuesday di maggio 2026 si inseriscono in un contesto normativo in rapida evoluzione per le organizzazioni europee. La Direttiva NIS2<\/strong>, in vigore nell’Unione Europea, impone agli operatori di servizi essenziali e ai fornitori di servizi digitali obblighi precisi in materia di gestione delle vulnerabilit\u00e0 e patching. In particolare, l’Articolo 21 della NIS2 richiede che le organizzazioni adottino “misure tecniche, operative e organizzative adeguate” per gestire i rischi, il che include processi formali di vulnerability management e patching tempestivo.<\/p>\n\n\n\n

    In questo contesto \u00e8 rilevante anche l’evoluzione del sistema di identificazione delle vulnerabilit\u00e0. Come analizzato nell’articolo sulla CVE Foundation e la EUVD<\/a>, l’Europa ha sviluppato la propria European Vulnerability Database (EUVD) come alternativa e complemento al CVE americano. La EUVD, gestita da ENISA, registra gi\u00e0 oltre 265.000 vulnerabilit\u00e0 e rappresenta uno strumento sempre pi\u00f9 importante per le organizzazioni europee nella prioritizzazione del patching, in parallelo con il NVD americano dove CVE-2026-41089 \u00e8 regolarmente catalogato.<\/p>\n\n\n\n

    L’EU Cybersecurity Act 2.0, entrato in vigore nel 2026 e che prevede multa fino al 7% del fatturato per i fornitori di prodotti ad alto rischio che non rispettano gli standard di sicurezza, aggiunge un ulteriore layer di pressione normativa sulle organizzazioni che gestiscono Windows Server in produzione senza processi di patching adeguati. Per i fornitori di servizi cloud e i MSP italiani, la mancata applicazione tempestiva di patch critiche come quella per CVE-2026-41089 potrebbe configurare una violazione degli obblighi contrattuali e normativi verso i propri clienti.<\/p>\n\n\n\n

    5 Previsioni per il Panorama delle Vulnerabilit\u00e0 Microsoft nel Secondo Semestre 2026<\/h2>\n\n\n\n

    Basandoci sull’andamento del 2026, emergono alcune tendenze chiave che le organizzazioni italiane ed europee devono considerare nella propria pianificazione della sicurezza:<\/p>\n\n\n\n

    1. Lo sfruttamento di CVE-2026-41089 accelerer\u00e0 nel terzo trimestre 2026<\/strong>. Con PoC gi\u00e0 pubblici e la conferma di sfruttamento attivo da parte del CCB Belgium, \u00e8 probabile che gruppi ransomware come Qilin, DragonForce e altri integrino questo exploit nei loro playbook di attacco entro luglio-agosto 2026, prendendo di mira Domain Controller non patchati come vettore di accesso iniziale per attacchi su larga scala.<\/li>
    2. Il volume mensile di CVE Microsoft continuer\u00e0 ad aumentare grazie all’AI-assisted discovery<\/strong>. Con TrendAI ZDI e altri programmi di ricerca assistita da AI, il numero di vulnerabilit\u00e0 scoperte e corrette nei Patch Tuesday mensili crescer\u00e0 ulteriormente, portando a rilasci regolari di 130+ CVE al mese entro fine 2026.<\/li>
    3. Active Directory rimarr\u00e0 il bersaglio primario dei ransomware group<\/strong>. La combinazione di CVE-2026-41089 con tecniche di movement laterale rende i Domain Controller Windows il punto d’ingresso privilegiato per attacchi ransomware su scala enterprise. Le organizzazioni che non segmentano l’accesso ai DC dalla rete generale continueranno a essere vulnerabili a questo vettore specifico.<\/li>
    4. Microsoft aumenter\u00e0 la frequenza degli “Out-of-Band” patch<\/strong> per vulnerabilit\u00e0 critiche che vengono sfruttate attivamente tra un Patch Tuesday e l’altro. La finestra di 17 giorni tra il rilascio della patch per CVE-2026-41089 e la conferma dello sfruttamento attivo suggerisce che Microsoft potrebbe riconsiderare la politica di patch mensili per classi di vulnerabilit\u00e0 particolarmente gravi che colpiscono componenti di autenticazione.<\/li>
    5. L’integrazione di EUVD con i sistemi SIEM europei diventer\u00e0 uno standard<\/strong>. Le organizzazioni italiane che oggi dipendono esclusivamente dal NVD americano per il tracking delle CVE inizieranno ad adottare la EUVD di ENISA come fonte primaria, specialmente dopo i disservizi del CVE Program americano documentati nella crisi del 2025.<\/li><\/ol>\n\n\n\n

      Copertura Correlata<\/h2>\n\n\n\n

      Per approfondire i temi collegati a CVE-2026-41089 e al panorama delle vulnerabilit\u00e0 in Italia e in Europa:<\/p>\n\n\n\n