Microsoft ha rilasciato aggiornamenti di sicurezza per una serie di vulnerabilità zero-day in Windows e Office che vengono attivamente sfruttate dagli aggressori. L’azienda ha descritto gli exploit come attacchi con un solo clic in grado di installare malware o garantire accesso non autorizzato con un’interazione minima da parte dell’utente.
Due delle falle possono essere attivate quando un utente fa clic su un collegamento dannoso su un computer Windows, mentre una terza può compromettere un sistema quando viene aperto un file Office dannoso. Microsoft ha classificato i bug come zero-day perché venivano utilizzati prima che le patch fossero disponibili.
Sono stati pubblicati dettagli sui metodi di sfruttamento, aumentando il rischio di ulteriori attacchi. Microsoft non ha rivelato la fonte dei dettagli pubblicati e un portavoce non ha commentato immediatamente TechCrunch quando gli è stato chiesto della pubblicazione.
I ricercatori di sicurezza del Threat Intelligence Group di Google hanno il merito di aver scoperto le vulnerabilità. Uno dei bug, identificato come CVE‑2026‑21510, risiede nella shell di Windows che alimenta l’interfaccia utente del sistema operativo e colpisce tutte le versioni di Windows supportate. Quando una vittima fa clic su un collegamento dannoso, la vulnerabilità ignora il filtro SmartScreen di Microsoft, che normalmente blocca collegamenti e file dannosi.
L’esperto di sicurezza Dustin Childs ha notato che il bug può essere utilizzato per installare malware in remoto. “Qui c’è l’interazione dell’utente, poiché il cliente deve fare clic su un collegamento o su un file di collegamento”, ha scritto Childs nel suo post sul blog. “Tuttavia, un bug con un solo clic per ottenere l’esecuzione del codice è una rarità.”
Un portavoce di Google ha confermato che la vulnerabilità della shell di Windows è sotto “sfruttamento diffuso e attivo” e può consentire l’esecuzione silenziosa di malware ad alto privilegio, aumentando il rischio di distribuzione di ransomware o raccolta di informazioni.
Il secondo zero-day di Windows, CVE‑2026‑21513, si trova nel motore del browser MSHTML proprietario di Microsoft, originariamente utilizzato da Internet Explorer e mantenuto per compatibilità con le versioni precedenti. Microsoft ha affermato che la falla consente agli aggressori di aggirare i controlli di sicurezza di Windows per installare malware.
Il giornalista indipendente sulla sicurezza Brian Krebs ha riferito che Microsoft ha anche corretto tre ulteriori bug zero-day che venivano attivamente sfruttati, sebbene i dettagli di tali vulnerabilità non siano stati divulgati nell’annuncio.
La risposta di Microsoft include il rilascio di patch per tutti i bug zero-day identificati, esortando gli utenti ad applicare tempestivamente gli aggiornamenti per mitigare il rischio di compromissione.
