Il Patch Tuesday di aprile 2026 è arrivato e porta con sé un carico davvero pesante. Microsoft ha corretto ben 167 vulnerabilità in un colpo solo, un numero che fa impressione se confrontato con i mesi precedenti: a marzo erano 79, a febbraio appena 58, e a gennaio si era arrivati a 114 falle, di cui otto giudicate critiche. Tra le 167 vulnerabilità corrette questo mese, spiccano due falle zero-day, una delle quali era già attivamente sfruttata dai criminali informatici per condurre attacchi reali.
Il dato che salta subito all’occhio riguarda la tipologia delle falle corrette. Ben 93 delle 167 vulnerabilità rientrano nella categoria dell’elevazione dei privilegi. Questo tipo di falla consente a un attaccante, già presente nel sistema, di ottenere permessi superiori fino ad arrivare ai diritti di amministratore o al controllo completo della macchina. Se combinate con altre vulnerabilità, queste falle possono portare alla compromissione totale di un computer. Il Patch Tuesday di aprile corregge anche 21 falle che consentono di sottrarre informazioni riservate da un dispositivo senza che il proprietario ne sia consapevole, 13 vulnerabilità che permettono di aggirare i meccanismi di sicurezza di Windows e 10 falle capaci di mandare in crash un sistema.
Due falle zero-day, una già sfruttata negli attacchi
La prima delle due falle zero-day riguarda Microsoft SharePoint Server, la nota piattaforma collaborativa. Questa vulnerabilità era già utilizzata attivamente in cyberattacchi reali prima che il correttivo venisse distribuito. Un attaccante non autenticato poteva sfruttarla per impersonare un’identità, leggere informazioni sensibili e modificarne il contenuto. Una situazione piuttosto seria, soprattutto per le aziende che usano SharePoint quotidianamente.
La seconda falla zero-day colpisce Microsoft Defender, l’antivirus integrato in Windows. In questo caso, un hacker già presente sulla macchina poteva ottenere privilegi a livello di sistema, aggirando le protezioni di Windows e arrivando potenzialmente al controllo completo del dispositivo, senza che l’utente potesse fare nulla. La buona notizia è che questa seconda vulnerabilità non risulta essere stata sfruttata da cybercriminali prima del rilascio della patch. Era però stata resa pubblica prima che Microsoft riuscisse a distribuire l’aggiornamento, il che la rende comunque una falla zero-day a tutti gli effetti.
Otto falle critiche e il rischio delle email con allegati
Il Patch Tuesday di aprile 2026 interviene anche su 8 falle classificate come critiche, ovvero al livello massimo di gravità previsto da Microsoft. Sette di queste permettono a un criminale informatico di eseguire codice malevolo da remoto su un computer. Tra le vulnerabilità corrette figurano anche falle in Word ed Excel, che consentono l’esecuzione di codice dannoso attraverso file apparentemente innocui. Microsoft raccomanda di installare i correttivi il prima possibile, specialmente per chi riceve regolarmente allegati via email: è proprio questa, a quanto pare, la porta d’ingresso preferita dagli attaccanti.
Per aggiornare il proprio PC basta aprire le Impostazioni di Windows, accedere a Windows Update e avviare la ricerca degli aggiornamenti. La patch si scarica e si installa in automatico, e dopo un semplice riavvio il sistema torna protetto.
