Cybersecurity

CISA aggiorna il catalogo KEV: vulnerabilità già sfruttate e checklist pratica per il patching

Abbiamo ricostruito le nuove voci entrate nel Known Exploited Vulnerabilities Catalog tra il 10 e il 13 febbraio 2026. Spieghiamo perché il segnale conta anche fuori dagli USA e come usare KEV come checklist di priorità patching con un metodo replicabile.

KEV spiegato in pratica Vulnerabilità già sfruttate Priorità patching Checklist pronta per IT e SOC Impatto anche fuori dagli USA

Pubblicato il: Lunedì 16 febbraio 2026 alle ore 17:53. L’articolo riflette le informazioni disponibili alla data di pubblicazione e potrebbe non includere sviluppi successivi che possono incidere sulla priorità operativa. Eventuali aggiornamenti saranno riportati nell’Update log. In mancanza di registrazioni nell’Update log, il contenuto deve considerarsi invariato rispetto alla versione pubblicata.

Ultimo aggiornamento: Venerdì 6 marzo 2026 alle ore 09:16. L’aggiornamento può includere interventi non sostanziali (revisione formale, correzioni, impaginazione o ottimizzazioni) e non implica necessariamente modifiche ai fatti riportati. Eventuali aggiornamenti di contenuto relativi agli sviluppi della notizia sono indicati nell’Update log.

Contenuto verificato Verificato secondo i nostri standard di fact-checking e con incrocio di fonti tecniche primarie. Policy correzioni

Per questa ricostruzione abbiamo lavorato sul dato tecnico: voci KEV, date e azioni richieste, poi versioni vulnerabili e fix lato vendor. L’obiettivo è operativo: trasformare un update del catalogo in una checklist che decide cosa patchare prima.

Il catalogo KEV di CISA si è mosso di nuovo e questa volta il messaggio è diretto. In tre aggiornamenti ravvicinati (10, 12 e 13 febbraio 2026) sono entrate 11 vulnerabilità con exploit già osservato sul campo. Due hanno una finestra praticamente immediata: SolarWinds Web Help Desk (CVE-2025-40536) ha avuto scadenza federale il 15 febbraio e BeyondTrust Remote Support con Privileged Remote Access (CVE-2026-1731) ce l’ha oggi 16 febbraio. Il resto si concentra tra il 3 e il 5 marzo, con un pacchetto Microsoft su Windows e tre voci che toccano Configuration Manager, Notepad++ e un bug Apple legato a dyld.

Mappa rapida: cosa fare con l’ultimo update KEV

Passaggio Cosa accade Il segnale da notare Impatto pratico
Tre aggiornamenti ravvicinati Tra il 10 e il 13 febbraio 2026 abbiamo tracciato 11 nuove voci nel KEV, tutte con exploit confermato. Due date molto aggressive (15 e 16 febbraio) segnalano urgenza operativa, non solo severità teorica. Se avete i prodotti coinvolti, la priorità patching della settimana cambia subito.
Priorità immediate BeyondTrust RS e PRA (CVE-2026-1731) e SolarWinds Web Help Desk (CVE-2025-40536) sono i due casi da portare in testa alla coda se esposti. Pre-auth su servizi spesso pubblicati e superfici che finiscono facilmente nei motori di scansione. Patch o isolamento immediato, poi verifica e controllo di eventuali segni di compromissione.
Blocco Microsoft da chiudere Sei CVE Windows aggiunte il 10 febbraio con scadenza 3 marzo: bypass, privilege escalation e un caso di DoS locale. È la combinazione tipica che rende veloce una kill chain dopo un accesso iniziale via phishing o credenziali rubate. Non rimandiamo il ciclo di patch: qui si lavora prima sugli asset critici poi sul resto.
KEV come checklist Usiamo KEV per costruire una lista corta: mappiamo CVE su asset, decidiamo SLA, applichiamo fix e misuriamo la chiusura. Ogni voce deve avere un owner, una data target e una verifica post-patch tracciata. Riduciamo backlog e stress operativo, aumentando la copertura sul rischio reale.

Tip: la tabella è scorrevole. Su mobile scorri con il dito a destra e a sinistra per vedere tutte le colonne.

KEV è evidenza operativa
Qui non entra “una CVE interessante”: entra una vulnerabilità con exploit già visto all’opera.
Le scadenze sono un segnale
Finestre 15 e 16 febbraio indicano urgenza massima su due prodotti molto “sensibili”.
Non guardiamo solo la severità
La priorità nasce da esposizione, ruolo dell’asset e finestra KEV, non dal punteggio CVSS preso da solo.
Checklist e verifica
Qui trovi un metodo per trasformare KEV in coda di patching con owner e controllo post-fix.
Catalogo KEV di CISA aggiornato: vulnerabilità già sfruttate e priorità di patching
Cybersecurity

Quando una CVE entra nel KEV, il rischio smette di essere teorico: l’exploit è già stato visto in azione.

Trasparenza: fonti e metodo

Qui non ci interessava “raccontare” l’update, ci interessava metterlo a terra. Abbiamo usato la National Vulnerability Database come asse temporale perché i record CVE riportano, quando presente, la riga di inserimento nel KEV con data, scadenza e azione richiesta. Per le patch e le versioni corrette siamo andati sui canali ufficiali dei vendor: Microsoft Security Response Center, Apple Support Security Releases, BeyondTrust Trust Center, SolarWinds documentation e Notepad++ News. Per capire dove il rumore fosse già diventato traffico reale abbiamo incrociato con i dati di GreyNoise e con la telemetria pubblica di Huntress. La stessa fotografia è coerente anche confrontandola con le cronache tecniche di SecurityWeek e BleepingComputer.

Fonte principale: analisi redazionale dei record CVE con metadati KEV e ricostruzione cronologica delle scadenze operative.

Contesto essenziale: perché KEV conta davvero

In un anno normale accumuliamo CVE come si accumulano ticket: tante, troppe, spesso tutte “urgenti” sulla carta. KEV è diverso perché restringe il campo. Non promette che una vulnerabilità verrà sfruttata, certifica che è già stata sfruttata. È un cambio di paradigma pratico: il rischio diventa una coda di lavoro, non un elenco astratto.

C’è un altro punto che in azienda pesa più di quanto si dica. Quando una CVE entra nel KEV, spesso vediamo due effetti a cascata: aumento di scanning e aumento di riuso degli exploit nelle campagne opportunistiche. Questo vale anche fuori dagli Stati Uniti perché i prodotti in gioco sono gli stessi, le superfici esposte sono simili e l’economia dell’attacco spinge a replicare rapidamente ciò che funziona.

Il nostro criterio è semplice: KEV entra nella “lista corta” e la lista corta guida la settimana. Poi la priorità fine la decide l’esposizione e la criticità dell’asset, non la voglia di inseguire un punteggio.

In breve

  • Abbiamo isolato 11 nuove CVE inserite nel KEV tra il 10, il 12 e il 13 febbraio 2026 con exploit già osservato.
  • Le finestre più strette puntano su BeyondTrust (CVE-2026-1731, scadenza 16 febbraio) e SolarWinds (CVE-2025-40536, scadenza 15 febbraio).
  • Il pacchetto Microsoft del 10 febbraio porta sei CVE su Windows con scadenza 3 marzo: bypass ed escalation contano anche quando partono da un endpoint.
  • Il 12 febbraio aggiunge anche tre voci con scadenza 5 marzo che impattano Configuration Manager, Notepad++ e un bug Apple legato a dyld.

L’aggiornamento KEV: cosa entra nel catalogo e cosa fare adesso

Questo non è un aggiornamento da “leggere e archiviare”. È un aggiornamento da usare. La cosa utile del KEV è che ci obbliga a una domanda immediata: dove siamo esposti oggi e che cosa possiamo spegnere prima che la prossima ondata ci tocchi.

Avviso operativo: le CVE citate in questa sezione sono in KEV e quindi con exploit già osservato. Il punto non è la curiosità tecnica, il punto è l’ordine di patching.

Sommario dei contenuti

La fotografia dell’update: date e scadenze che cambiano le priorità

Abbiamo un pattern chiaro. Inserimenti il 10, il 12 e il 13 febbraio, poi quattro scadenze che fanno da bussola. La scadenza del 15 febbraio è già alle spalle, quella del 16 febbraio cade oggi, poi arrivano 3 e 5 marzo. Quando la finestra è così stretta, KEV non sta solo dicendo “è sfruttato”, sta dicendo “la pressione è alta adesso”.

Scadenza KEV (proxy urgenza) Voci inserite Cosa significa in pratica Azione immediata consigliata
15 febbraio 2026 CVE-2025-40536 (SolarWinds Web Help Desk) Finestra strettissima, segnale di urgenza su un prodotto spesso esposto. Patch o isolamento. Se è su internet, togli esposizione prima di tutto.
16 febbraio 2026 CVE-2026-1731 (BeyondTrust RS e PRA) Pre-auth RCE su piattaforme di accesso remoto. Il rischio si muove veloce. Verifica versione e patch. Se self-hosted esposto, agire oggi.
3 marzo 2026 CVE-2026-21510, CVE-2026-21513, CVE-2026-21514, CVE-2026-21519, CVE-2026-21525, CVE-2026-21533 (Windows) Pacchetto Microsoft: bypass ed escalation, utile in catena dopo accesso iniziale su endpoint. Accelerare rollout patch di febbraio sugli asset più sensibili e su chi fa RDP.
5 marzo 2026 CVE-2024-43468 (Configuration Manager), CVE-2025-15556 (Notepad++), CVE-2026-20700 (Apple dyld) Tre superfici diverse: management server, supply chain updater e piattaforme Apple con exploit mirato. Gestione per ambiti: server di gestione prima, endpoint poi, mobile e device in base al rischio.

Priorità immediate: BeyondTrust e SolarWinds

Qui la priorità è banale da decidere. Se avete uno dei due prodotti e se è esposto, non stiamo parlando di “metterlo nel prossimo sprint”. Stiamo parlando di togliere superficie o applicare fix adesso.

BeyondTrust RS e PRA (CVE-2026-1731): perché la finestra di oggi pesa

La vulnerabilità è una pre-auth remote code execution con iniezione di comandi, quindi il tipo di problema che non perdona esposizione su internet. L’aggiornamento del vendor è interessante per due motivi operativi: il primo è che la patch è stata distribuita molto presto in modalità automatica per chi aveva il servizio update attivo, il secondo è che i tentativi di sfruttamento sono stati osservati dal 10 febbraio. Tradotto: chi è rimasto indietro con le patch si è ritrovato in una finestra corta e visibile.

Per chi gestisce ambienti self-hosted, la parte che spesso viene sottovalutata è la compatibilità. Alcune installazioni vecchie richiedono un salto di versione prima di poter applicare la correzione. Se Remote Support è sotto una versione molto datata o se Privileged Remote Access è sotto la soglia minima supportata per la patch, la remediation non è “applica hotfix” ma “aggiorna e poi applica”. In questa classe di prodotto è il momento in cui si decide se il servizio deve restare esposto oppure no.

Checklist rapida su RS e PRA: verificate se l’istanza è self-hosted e internet-facing, controllate che l’update service sia attivo, validate che la versione sia oltre i livelli corretti e fate una verifica post-patch sui log attorno al 10 febbraio. Se l’istanza era esposta e non patchata prima del 9 febbraio, trattatela come evento da triage, non come semplice update.

SolarWinds Web Help Desk (CVE-2025-40536): perché la scadenza del 15 febbraio è un allarme

Qui abbiamo una vulnerabilità di security control bypass che consente a un attaccante non autenticato di accedere a funzionalità ristrette. Il dettaglio che ci interessa è lo scarto tra percezione e rischio reale. Il punteggio può cambiare a seconda di chi lo calcola, ma il catalogo KEV e la scadenza ravvicinata ci dicono che l’exploit è già nel mondo e il prodotto finisce nel mirino quando è pubblicato.

Web Help Desk è un classico “servizio utile” che in molte realtà finisce su una rete meno controllata, a volte perfino esposto per comodità. La raccomandazione pratica è sempre la stessa: se lo usate, patchate e spostate l’accesso su un perimetro controllato. Una mitigation che funziona subito è ridurre drasticamente chi può raggiungere l’applicazione, mentre si prepara l’aggiornamento vero.

Il blocco Microsoft: perché le CVE locali contano anche quando non sono esposte

La tentazione è sempre quella di dire “sono locali, ci pensiamo”. Il problema è che la maggior parte degli incidenti moderni entra da un utente o da una credenziale e poi si muove. In quella fase, le CVE locali sono acceleratori. Nel pacchetto del 10 febbraio troviamo bypass di feature di sicurezza e almeno due casi tipici di escalation. Non sono dettagli: sono la differenza tra un foothold rumoroso e una compromissione che diventa dominio in poche ore.

Nel dettaglio, il blocco include una bypass in Windows Shell (CVE-2026-21510), una bypass nel framework MSHTML sfruttabile via rete con interazione utente (CVE-2026-21513), una bypass legata a decisioni su input non affidabili in Word (CVE-2026-21514), una escalation nel Desktop Window Manager via type confusion (CVE-2026-21519), una DoS locale nel Remote Access Connection Manager (CVE-2026-21525) e una escalation su Windows Remote Desktop (CVE-2026-21533). Guardate la combinazione e capite perché KEV la mette in lista: è una cassetta degli attrezzi per l’attaccante.

Indicazione pratica: chiudete il ciclo di patch di febbraio sui sistemi che fanno da ponte tra utenti e privilegi. Jump host, terminal server, macchine con RDP usato in modo operativo e endpoint di amministrazione meritano una corsia diversa rispetto al parco standard.

Il gruppo del 5 marzo: ConfigMgr, Notepad++ e Apple

Qui KEV mette insieme tre mondi che in azienda vengono gestiti da persone diverse. È il punto in cui la checklist serve davvero, perché se lasciate il lavoro a silos rischiate un buco “di confine”.

Configuration Manager (CVE-2024-43468): quando un server di gestione diventa un moltiplicatore

La voce riguarda Configuration Manager e ruota attorno a una SQL injection che può portare a esecuzione di codice remoto. La priorità nasce dal ruolo, non solo dalla CVE. Un server di gestione spesso ha credenziali, reachability e privilegi che un endpoint non ha. Se cade lui, la superficie che l’attaccante guadagna è enorme.

Notepad++ (CVE-2025-15556): supply chain “silenziosa” via updater

Questa è una vulnerabilità che molti sottovalutano perché riguarda un meccanismo di update. Il cuore è semplice: download senza controllo di integrità in un componente usato per aggiornare. In ambienti gestiti, la mitigazione intelligente è togliere autonomia all’updater e distribuire il software con packaging interno, dove integrità e provenienza sono controllate. Non serve panico, serve disciplina.

Apple dyld (CVE-2026-20700): il segnale “attacco sofisticato” non è decorazione

Qui il messaggio chiave è che Apple ha collegato il bug a uno scenario di attacco estremamente sofisticato contro individui specifici, su versioni di iOS precedenti a iOS 26. Questo tipo di nota, quando compare, cambia la priorità per chi ha figure ad alto rischio. Non significa che ogni parco Apple sia sotto attacco, significa che chi gestisce device di dirigenti, giornalisti, legali o persone esposte deve trattare la patch come protezione reale, non come manutenzione.

Perché KEV conta anche fuori dagli USA

KEV nasce in un contesto federale, ma la sua utilità è universale. La ragione è pratica: i criminali non segmentano per confini e l’infrastruttura digitale che usiamo è la stessa. Se un exploit funziona, viene riutilizzato. Se un prodotto è diffuso, viene scansionato. Se una piattaforma è di accesso remoto, diventa un bersaglio naturale perché accorcia la strada verso privilegi e dati.

Noi usiamo KEV come bussola perché riduce la discussione interna. Evita il classico tavolo infinito su “quanto è grave” e sposta il dialogo su “dove siamo esposti”. In più, le scadenze sono un proxy semplice che possiamo adottare anche in Italia: non sono un obbligo, ma descrivono quanto è corta la finestra che CISA si aspetta per contenere il rischio.

KEV come checklist: metodo pronto da applicare

Se dovessimo ridurre tutto a una frase, diremmo questa: KEV è la lista corta che decide cosa entra nella corsia urgente. Poi la corsia urgente si gestisce con due discipline: inventario reale e verifica post-patch.

Impatti pratici che vediamo subito quando KEV entra nel flusso

  • Meno backlog: la coda si svuota perché non tentiamo di patchare tutto insieme, patchiamo prima ciò che è già sfruttato.
  • Decisioni più rapide: l’owner del prodotto lavora su un numero finito di voci, quindi non entra in paralisi da volume.
  • Incident response più pulita: quando succede qualcosa, sappiamo già se abbiamo chiuso le CVE “calde” e su quali asset.
  • Comunicazione interna più onesta: possiamo dire “questa è la nostra esposizione e questa è la data di chiusura” senza frasi vaghe.

I controlli rapidi da fare oggi se gestite patching

  • Individuate eventuali istanze di accesso remoto e verificate se sono esposte su internet.
  • Verificate lo stato patch dei prodotti entrati nel KEV tra 10 e 13 febbraio e assegnate owner e data target per ciascuno.
  • Accelerate l’adozione delle patch Windows di febbraio sugli endpoint di amministrazione e sui server che fanno da ponte verso privilegi.
  • Controllate i software con update client-side e spostate la distribuzione su canali gestiti.
  • Per il parco mobile e Apple, fate un check mirato sui profili ad alto rischio e chiudete prima lì.

Guida pratica: trasformare KEV in priorità patching

Routine quotidiana che funziona anche in team piccoli

Se l’azienda non ha un tool sofisticato, non è una scusa. La routine minima è questa: controllo delle nuove voci KEV, mappatura su asset, assegnazione owner, data target e verifica. È banale solo sulla carta. Il salto di qualità è non mollare la verifica, perché il “patchato” dichiarato spesso non coincide con il “patchato” reale.

Come scegliamo l’ordine dentro la lista corta

Prima l’esposizione, poi la criticità dell’asset, poi la possibilità di movimento laterale. Un bug locale su una macchina di amministrazione è più pericoloso di un bug remoto su un sistema isolato. Un accesso remoto esposto in chiaro è più pericoloso di un servizio interno protetto da segmentazione. KEV ti dà la lista, la tua rete decide l’ordine.

Suggerimento operativo: se una voce KEV tocca un servizio che era pubblicato su internet, la prima mossa è ridurre l’esposizione. In parallelo si patcha, ma l’esposizione si taglia subito perché è il modo più rapido di spegnere l’opportunità.

Il commento dell’esperto

Il problema più grande, quando si parla di vulnerabilità, è l’illusione della metrica unica. CVSS è utile ma non racconta se l’exploit sta girando. EPSS è utile ma non racconta se il vostro asset è esposto. KEV è utile perché taglia la discussione: qualcuno lo ha già usato.

Il punto che ci interessa davvero è la disciplina. Se KEV entra nel flusso una volta a settimana e poi si dimentica, non cambia nulla. Se KEV entra nel flusso ogni mattina e diventa una coda con owner, date e verifica, cambia tutto. Non perché “ci fidiamo di CISA”, ma perché ci fidiamo del fatto che una vulnerabilità sfruttata è un rischio più concreto di una vulnerabilità teorica.

Questa tornata di febbraio è un esempio perfetto. Una scadenza già passata e una scadenza che cade oggi sono un promemoria brutale: l’urgenza non sempre coincide con ciò che ci sembra comodo. Se teniamo la lista corta e la trattiamo come checklist, non rincorriamo più le CVE, rincorriamo solo la nostra esposizione.

Questo è un commento editoriale: è una lettura operativa basata su metadati KEV, record CVE e bollettini tecnici. La priorità finale dipende sempre dalla vostra esposizione reale e dalla criticità degli asset.

A cura di Junior Cristarella.

Domande frequenti

Cos’è il catalogo KEV in parole pratiche?

È la lista di vulnerabilità che hanno già un exploit usato contro bersagli reali. Se una CVE entra in KEV, non stiamo più parlando di rischio potenziale: stiamo parlando di una tecnica che qualcun altro ha già messo in produzione.

Perché dovremmo seguirlo anche se non siamo negli Stati Uniti?

Perché gli exploit viaggiano e i prodotti sono globali. KEV è un segnale di rischio operativo e spesso anticipa ondate di scanning e tentativi su scala ampia. Usarlo come filtro vi permette di spendere tempo dove il rischio è già dimostrato.

KEV sostituisce CVSS ed EPSS?

No. CVSS descrive impatto e condizioni, EPSS stima probabilità. KEV risponde a un’altra domanda: è già stato sfruttato? Noi li usiamo insieme: KEV per decidere cosa entra nella coda urgente, CVSS e contesto asset per definire l’ordine dentro la coda.

Come trasformo KEV in checklist senza un tool di vulnerability management?

Basta poco: una tabella condivisa con colonne fisse (prodotto, asset, owner, data target) e una colonna verifica. Ogni nuova voce KEV va lì entro la giornata. Il valore arriva quando la lista resta corta e quando i completamenti sono verificati.

Le scadenze KEV sono realistiche per noi?

Sono pensate per il perimetro federale USA, quindi non sono un obbligo per tutti. Però dicono molto sulla pressione del momento. Se una scadenza arriva in pochi giorni, noi la trattiamo come priorità massima almeno per gli asset esposti o privilegiati.

Se non posso patchare subito, cosa faccio di utile?

Isola la superficie prima di tutto. Chiudi l’esposizione diretta, limita gli IP, metti autenticazione forte dove manca e monitora. Poi scrivi una data certa per la patch, altrimenti la mitigazione diventa un rischio accettato per mesi.

Ogni quanto va controllato il KEV?

Se gestite infrastruttura esposta o accessi remoti, la routine è quotidiana. Inseriamo il controllo come abitudine del mattino e facciamo un check extra nei giorni di Patch Tuesday o quando vediamo un’ondata di scanning.

Timeline operativa: usa KEV come checklist

Apri le fasi in ordine e adattale al tuo contesto. Questa timeline è pensata per chi deve decidere e fare, non per chi deve solo sapere.

  1. Fase 1 Agganciare il KEV al tuo inventario reale
    • Definiamo un punto unico di verità per l’inventario: CMDB, asset list o anche un foglio ben tenuto se siete piccoli.
    • Ogni mattina importiamo le nuove voci KEV come lista corta e le normalizziamo (CVE, prodotto, versione, piattaforma).
    • Assegniamo subito un owner tecnico per prodotto, non per CVE: riduce i rimpalli.
    • Se l’owner non esiste, è già un segnale: l’asset non è governato.

    Perché conta: Senza inventario e ownership, KEV resta un elenco. Con inventario diventa una coda di lavoro misurabile.

  2. Fase 2 Tagliare per superficie: esposto batte severità
    • Per ogni voce KEV chiediamoci se il servizio è internet-facing o se può diventarlo tramite un reverse proxy dimenticato.
    • Valutiamo il percorso di attacco: pre-auth remoto è un altro sport rispetto a un bug locale che richiede un utente.
    • Se c’è un vettore che passa da email o web, coinvolgiamo subito anche chi gestisce EDR e gateway.

    Perché conta: KEV dice che l’exploit esiste. La superficie ci dice quante ore abbiamo prima che lo vediamo anche noi.

  3. Fase 3 Tradurre le scadenze in SLA interni
    • Le date KEV sono pensate per le agenzie federali USA, ma la distanza tra data di aggiunta e scadenza è un indicatore utile.
    • Noi usiamo tre classi interne: 72 ore per servizi esposti, una settimana per endpoint critici, due settimane per il resto.
    • Quando la finestra KEV è di pochi giorni, alziamo di default la priorità anche se il CVSS non è il massimo.
    • Le eccezioni si scrivono e si firmano: niente “ci pensiamo”.

    Perché conta: Le scadenze non sono un totem. Se le traduciamo in SLA, diventano gestione del rischio e non ansia da calendario.

  4. Fase 4 Patch e mitigazioni: fare bene senza bloccare l’azienda
    • Se possiamo patchare, patchiamo. Se non possiamo, isoliamo: VPN, allowlist, segmentazione, WAF o spegnimento temporaneo delle funzioni vulnerabili.
    • Sui prodotti di accesso remoto usiamo un principio semplice: niente esposizione diretta se non è indispensabile.
    • Dove esiste un updater non controllato, preferiamo pacchetti gestiti internamente e repository firmati.
    • Documentiamo la mitigation con data di scadenza: la mitigazione non è un “per sempre”.

    Perché conta: KEV obbliga a decidere. Una decisione buona è rapida, tracciata e con una via d’uscita chiara.

  5. Fase 5 Verifica post-patch e chiusura della finestra
    • Rieseguiamo lo scanner o il controllo di conformità e verifichiamo che la versione corretta sia effettivamente in produzione.
    • Controlliamo log e alert attorno alle date di exploitation note, soprattutto per i servizi esposti.
    • Se la CVE è legata a bypass o escalation, cerchiamo indicatori indiretti: creazione di account, servizi nuovi, task schedulati.
    • Chiudiamo la voce solo quando abbiamo evidenza di fix e quando l’asset è stato ricontrollato dopo il riavvio o il redeploy.

    Perché conta: La patch senza verifica è un atto di fede. Con la verifica diventa riduzione di rischio misurabile.

Chiusura

KEV non è una lista in più, è un filtro che ci ridà controllo. Questo update di febbraio lo dimostra: finestre strettissime su prodotti sensibili e un pacchetto Windows che va chiuso senza rimandi sugli asset che fanno da ponte verso privilegi. Se trasformiamo KEV in checklist con owner, date e verifica, smettiamo di inseguire la paura e iniziamo a inseguire solo la nostra esposizione reale.

Firma digitale di Junior Cristarella
Firma digitale del direttore responsabile

Approfondimenti correlati

Tecnologia: news, guide e dossier

Il nostro hub Tecnologia: sicurezza informatica, piattaforme, servizi digitali e impatto pratico su aziende e cittadini.

Apri la pagina hub

Update log

Registro degli aggiornamenti sostanziali: trasparenza su modifiche, correzioni e integrazioni informative.

  • Lunedì 16 febbraio 2026 alle ore 19:07: Aggiunta tabella di priorità per scadenze KEV con focus sulle finestre ravvicinate del 15 e 16 febbraio e sulle scadenze di inizio marzo.
  • Lunedì 16 febbraio 2026 alle ore 19:32: Rafforzata la sezione BeyondTrust con dettagli su versioni vulnerabili, patch disponibili e criteri pratici per valutare l’esposizione in ambienti self-hosted.
  • Lunedì 16 febbraio 2026 alle ore 19:56: Estesa la checklist operativa con controlli rapidi su Configuration Manager, Notepad++ e parco Apple più indicazioni di verifica post-patch.
Foto di Junior Cristarella
Autore Junior Cristarella Junior Cristarella è direttore responsabile e fondatore di Sbircia la Notizia Magazine. Coordina la redazione e firma gli approfondimenti dove tecnologia e sicurezza informatica hanno impatto operativo.
Pubblicato Lunedì 16 febbraio 2026 alle ore 17:53 Aggiornato Venerdì 6 marzo 2026 alle ore 09:16