L’anno si apre con un campanello d’allarme per tutti gli utenti Windows. Il Patch Tuesday di gennaio 2026 porta con sé un carico pesante: 112 vulnerabilità corrette, tra cui due zero-day particolarmente insidiose. Una di queste è già stata sfruttata in attacchi reali, come confermato dalla stessa Microsoft. Non si tratta di minacce teoriche o ipotetiche, ma di buchi nella sicurezza già utilizzati da malintenzionati per compromettere sistemi in tutto il mondo. La notizia ha spinto persino l’agenzia federale statunitense CISA a inserire la vulnerabilità nel proprio catalogo delle falle attivamente sfruttate, imponendo agli enti pubblici americani una scadenza perentoria: applicare la correzione entro il 3 febbraio 2026. Un segnale inequivocabile della gravità della situazione.
Ma cosa rende questa vulnerabilità così pericolosa? E perché dovresti preoccuparti anche se il punteggio di rischio assegnato potrebbe sembrare moderato? La risposta sta nel modo in cui funzionano gli attacchi informatici moderni: raramente una singola falla basta a compromettere un sistema. Più spesso, gli hacker costruiscono vere e proprie catene di exploit, dove ogni anello apre la strada al successivo. La vulnerabilità già sfruttata, identificata con il codice CVE-2026-20805, colpisce il Desktop Window Manager, il componente di Windows responsabile della gestione delle finestre e degli effetti visivi. Il problema riguarda la divulgazione di informazioni sensibili: in particolare, un attaccante può leggere gli indirizzi di memoria associati a porte ALPC remote. Sembra tecnico, ed effettivamente lo è, ma le implicazioni sono tutt’altro che astratte.
Le porte ALPC, acronimo di Advanced Local Procedure Call, sono canali di comunicazione interni che Windows utilizza per far dialogare i vari componenti del sistema operativo. Pensale come le autostrade lungo le quali viaggiano dati critici tra processi e servizi. Quando un attaccante riesce a intercettare informazioni su queste rotte, ottiene una mappa preziosa per sferrare attacchi più sofisticati. Conoscere dove risiedono determinate porzioni di codice o strutture dati in memoria permette infatti di aggirare una delle principali difese di Windows: l’ASLR, ovvero Address Space Layout Randomization. Questa tecnologia mescola casualmente la posizione dei componenti in memoria ogni volta che il sistema si avvia, rendendo molto più difficile per un exploit colpire il bersaglio giusto. Ma se la mappa viene rivelata, l’ASLR diventa inutile.
Ecco perché il punteggio CVSS di 5,5 assegnato a CVE-2026-20805 racconta solo una parte della storia. Da sola, questa vulnerabilità non consente di eseguire codice malevolo. Tuttavia, combinata con un secondo bug che permetta l’esecuzione di istruzioni arbitrarie, diventa la chiave che apre la porta. È proprio questa capacità di abilitare altre vulnerabilità che ha spinto Microsoft e la CISA a considerarla critica. Il team di ricerca Microsoft ha individuato prove concrete dello sfruttamento attivo di questa falla, ma l’azienda ha scelto di non divulgare ulteriori dettagli sugli attacchi osservati. Una decisione che ha suscitato qualche critica nella comunità della sicurezza, ma che risponde a una logica precisa: evitare di fornire un manuale d’istruzioni a chi non ha ancora applicato le correzioni.
Accanto a CVE-2026-20805, Microsoft ha risolto una seconda vulnerabilità zero-day, la CVE-2026-21265, che riguarda il Secure Boot di Windows. Questa tecnologia è fondamentale per garantire che solo software autorizzato e verificato possa avviarsi insieme al sistema operativo, proteggendo da bootkit e malware che cercano di installarsi a livello di firmware. Il problema in questo caso riguarda la scadenza imminente di alcuni certificati digitali emessi nel lontano 2011. Se non aggiornati, questi certificati potrebbero consentire a componenti non autorizzati di avviarsi bypassando completamente la catena di fiducia UEFI. In altre parole, un attaccante potrebbe iniettare codice malevolo prima ancora che Windows si avvii, rendendo praticamente invisibile la propria presenza.
Con un punteggio CVSS di 6,4, CVE-2026-21265 rappresenta un rischio concreto soprattutto per le aziende che utilizzano hardware più datato o che non hanno mantenuto aggiornato il firmware dei propri dispositivi. L’aggiornamento rilasciato da Microsoft rinnova i certificati coinvolti, preservando l’integrità del processo di avvio e chiudendo questa finestra di vulnerabilità. Ma CVE-2026-20805 e CVE-2026-21265 sono solo la punta dell’iceberg. Il pacchetto cumulativo di gennaio 2026 include correzioni per 112 vulnerabilità distribuite così: 22 permettono l’esecuzione di codice remoto, 57 consentono l’elevazione dei privilegi, 21 riguardano la divulgazione di informazioni, 3 permettono di aggirare le funzionalità di sicurezza, 2 causano denial of service e 5 riguardano tecniche di spoofing.
La predominanza di bug legati all’elevazione dei privilegi non è casuale. Questo tipo di vulnerabilità consente a un attaccante già presente nel sistema con privilegi limitati di ottenere accesso amministrativo completo. Combinando queste falle con tecniche di social engineering o con exploit di esecuzione remota, un malintenzionato può prendere il controllo totale di un computer o di un’intera rete aziendale. Vale la pena ricordare che dal 14 ottobre 2025 Microsoft ha interrotto il supporto ufficiale per Windows 10, con un’eccezione significativa: gli utenti europei continueranno a ricevere aggiornamenti gratuiti fino a ottobre 2026, grazie a una decisione dell’azienda di estendere il supporto in risposta a pressioni normative. Per tutti gli altri, il passaggio a Windows 11 o l’acquisto di supporto esteso sono le uniche opzioni per rimanere protetti.
Per gli amministratori di sistema e i responsabili IT, questo Patch Tuesday rappresenta un promemoria dell’importanza del patch management. Non si tratta solo di installare aggiornamenti, ma di farlo con tempestività e secondo una strategia chiara. Le vulnerabilità zero-day, per definizione, sono falle per le quali non esisteva correzione fino al momento della scoperta. Chi le sfrutta ha un vantaggio temporale decisivo.
I team di sicurezza dovrebbero dare priorità assoluta alle patch che risolvono vulnerabilità già sfruttate o ad alto impatto. CVE-2026-20805 e CVE-2026-21265 rientrano chiaramente in questa categoria. Parallelamente, è fondamentale monitorare i log di sistema alla ricerca di comportamenti anomali: tentativi ripetuti di accesso, modifiche impreviste ai privilegi utente, comunicazioni verso indirizzi IP sospetti. Rafforzare le policy di accesso è un’altra mossa essenziale. Il principio del privilegio minimo dovrebbe guidare ogni decisione: nessun utente o processo dovrebbe avere più permessi di quelli strettamente necessari al proprio lavoro. Limitare l’accesso ai componenti critici come il Secure Boot e i moduli di sistema riduce drasticamente la superficie d’attacco.
Per le aziende che utilizzano hardware legacy o driver di terze parti non più aggiornati, il rischio è ancora più elevato. Questi componenti rappresentano spesso il punto debole attraverso cui gli attaccanti penetrano nelle reti aziendali. Una strategia di upgrade o sostituzione programmata non è solo una questione di prestazioni, ma di sopravvivenza digitale. L’aggiornamento per Windows 10, ad esempio, è distribuito con il pacchetto KB5073724, mentre per Windows 11 le versioni corrispondenti portano i numeri KB5074109 e KB5073455. L’installazione è relativamente semplice, ma richiede un riavvio del sistema, un passaggio che molti utenti tendono a rimandare. Eppure, ogni ora di ritardo è un’ora in più di esposizione al rischio.
Gli attacchi informatici moderni non sono eventi casuali. Sono operazioni pianificate, condotte da gruppi organizzati che studiano attentamente le vulnerabilità disponibili e scelgono i bersagli più redditizi. Le patch pubblicate da Microsoft rappresentano paradossalmente anche una roadmap per gli attaccanti: analizzando le correzioni, è possibile risalire alla natura delle vulnerabilità e sviluppare exploit per colpire chi non ha ancora aggiornato. Questo meccanismo perverso rende ancora più critica la velocità di risposta. Le prime 48 ore dopo il rilascio di una patch sono le più pericolose. È in questa finestra temporale che si concentra il maggior numero di tentativi di exploit da parte di chi cerca di approfittare della lentezza organizzativa o della mancanza di consapevolezza.
La questione non riguarda solo i singoli computer. Le vulnerabilità di Windows impattano su infrastrutture critiche, ospedali, centrali elettriche, sistemi di trasporto, istituzioni finanziarie. Un attacco andato a segno può causare danni economici milionari, bloccare servizi essenziali, compromettere dati sensibili di milioni di persone. Non è allarmismo, è la realtà quotidiana della sicurezza informatica nel 2026. Gli attaccanti sono sempre più sofisticati, gli strumenti sempre più accessibili, le motivazioni sempre più varie: dal guadagno economico attraverso ransomware, allo spionaggio industriale, fino ad azioni di sabotaggio coordinate da stati nazionali.
In questo contesto, l’aggiornamento di gennaio 2026 non è un semplice appuntamento tecnico sulla roadmap di Microsoft. È un intervento chirurgico su un sistema esposto a minacce concrete e immediate. Ignorarlo significa accettare consapevolmente un livello di rischio che nessuna organizzazione, e nessun utente privato con un minimo di attenzione alla propria sicurezza digitale, dovrebbe tollerare. Gli aggiornamenti sono disponibili attraverso Windows Update e possono essere installati manualmente o configurati per l’installazione automatica. Per gli ambienti aziendali, strumenti come Windows Server Update Services permettono una gestione centralizzata e controllata del processo di patching, consentendo di testare gli aggiornamenti su un gruppo ristretto di macchine prima del rollout generale.
La sicurezza informatica non è mai una destinazione, ma un percorso continuo. Ogni patch chiude una porta, ma nuove vulnerabilità verranno inevitabilmente scoperte. La differenza tra un sistema sicuro e uno compromesso spesso sta nella disciplina con cui si affrontano questi aggiornamenti mensili, nella capacità di distinguere tra ciò che può aspettare e ciò che richiede azione immediata. Il Patch Tuesday di gennaio 2026 ha tracciato una linea chiara: due vulnerabilità zero-day, una già sfruttata, 112 falle complessive. Da che parte di quella linea vuoi trovarti?
