Sicurezza Microsoft

Patch Tuesday Microsoft di febbraio 2026: 6 zero-day già sfruttati, cosa fare subito

Febbraio 2026 ci consegna un Patch Tuesday con un segnale chiaro: sei vulnerabilità risultavano già sfruttate prima del rilascio delle patch. Abbiamo ricostruito volumi, superfici colpite e un ordine di patching eseguibile subito, senza perdere tempo in discussioni astratte.

6 zero-day già sfruttate 58 CVE Microsoft nel ciclo Windows e Office in prima linea RDS e DWM nel perimetro Priorità patching 24-72 ore Guida operativa per IT

Pubblicato il: Domenica 15 febbraio 2026 alle ore 10:15. L’articolo riflette le informazioni disponibili alla data di pubblicazione e potrebbe non includere sviluppi successivi, che possono incidere sull’inquadramento dei fatti. Eventuali aggiornamenti saranno riportati nell’Update log. In mancanza di registrazioni nell’Update log, il contenuto deve considerarsi invariato rispetto alla versione pubblicata.

Ultimo aggiornamento: Venerdì 6 marzo 2026 alle ore 09:16. L’aggiornamento può includere interventi non sostanziali (revisione formale, correzioni, impaginazione o ottimizzazioni) e non implica necessariamente modifiche ai fatti riportati. Eventuali aggiornamenti di contenuto relativi agli sviluppi della notizia sono indicati nell’Update log.

Contenuto verificato Verificato secondo i nostri standard di fact-checking e con una ricostruzione basata su bollettini ufficiali e record CVE analizzati in redazione. Policy correzioni

Per questa analisi abbiamo passato al setaccio il ciclo di patch del 10 febbraio 2026, ricostruendo quali vulnerabilità risultavano già sfruttate e come si traducono in priorità operative per utenti e IT. Il punto pratico è uno: con sei zero-day già in corsa, la velocità di deployment diventa una misura di sicurezza.

Il Patch Tuesday di febbraio 2026 non si legge, si esegue. Sei vulnerabilità erano già sotto attacco prima dell’uscita delle correzioni e tre di queste erano anche pubblicamente note, quindi con un livello di pressione ancora più alto. Qui dentro ci sono bypass di sicurezza che abbassano i freni all’esecuzione di payload, escalation locali che portano a privilegi SYSTEM e perfino un DoS su un componente di connettività. Cinque giorni dopo, la domanda non è “quanto è grande la lista” ma “quanto è vicino il tuo parco macchine alla patch”.

Mappa rapida: cosa fare prima e perché

Passaggio Cosa accade Il segnale da notare Conseguenza
Il dato che cambia tutto Nel ciclo del 10 febbraio 2026 compaiono sei CVE già sfruttate prima del rilascio delle patch. La dicitura “exploitation detected” è un acceleratore: non è teoria, è traffico reale. Il patching diventa emergenza operativa su endpoint e server più esposti.
Superfici colpite Windows e componenti, Office e servizi cloud. Nel perimetro entrano anche Edge, .NET, Visual Studio, Exchange e altri. La conta è ampia: 58 CVE Microsoft e 62 se includiamo terze parti e Chromium nel catalogo della release. Serve un piano multi-stack: non basta “fare Windows Update” una volta.
Ordine di patching Prima le tre bypass (Shell, MSHTML e Word) poi le due escalation (DWM e RDS) e infine il resto del pacchetto. Le bypass aumentano la probabilità che un payload giri senza blocchi e le EoP chiudono il cerchio verso SYSTEM. Riduciamo conversione e impatto: meno infezioni riuscite e meno takeover completi.
Verifica e caccia Dopo il deployment, controlliamo conformità e facciamo hunting mirato su file e processi tipici di catene Office e shell. L’exploit era disponibile prima della patch e quindi il rischio non è solo preventivo. Se troviamo tracce, isoliamo e bonifichiamo prima che l’attaccante stabilizzi persistenza.

Tip: la tabella è scorrevole. Su mobile scorri con il dito a destra e a sinistra per vedere tutte le colonne.

6 zero-day già sfruttate
La differenza tra rischio e urgenza è qui: l’exploit esisteva prima della patch.
Tre bypass di sicurezza
Shell, MSHTML e Word: l’obiettivo è ridurre gli avvisi che fermano gli attacchi “a un click”.
Due EoP e un DoS
Una volta dentro, l’escalation a SYSTEM cambia l’incidente. Il DoS su RasMan è raro, ma è in campo.
Priorità in ore
Per endpoint e server esposti, l’obiettivo realistico è 24-72 ore. Poi arriva la seconda ondata.
Patch Tuesday Microsoft febbraio 2026: sei zero-day già sfruttati, cosa fare subito
Tecnologia

Quando sei zero-day sono già in corsa, l’ordine delle patch conta più del volume.

Trasparenza: fonti e metodo

Abbiamo costruito questa analisi partendo dal bollettino del Microsoft Security Response Center, che nel ciclo di febbraio 2026 segnala esplicitamente le CVE già sfruttate. Da lì abbiamo fatto una cosa molto concreta: per ogni zero-day abbiamo tradotto la descrizione in una domanda operativa, cioè “qual è il primo asset che devo mettere al sicuro”.

Per i dettagli di scoring e per la verifica dell’inserimento nel catalogo KEV con scadenza di remediation abbiamo incrociato i record della National Vulnerability Database (NVD) di NIST. Sul perimetro cloud, la sintesi della Cyber Security Agency of Singapore ci ha aiutato a isolare con precisione le CVE classificate come Critical lato Azure. A chiudere il cerchio, la review tecnica di Zero Day Initiative conferma conta, severità e natura delle sei zero-day.

Fonte principale: analisi in redazione del Patch Tuesday Microsoft di febbraio 2026 e ricostruzione operativa della priorità di patching.

Contesto essenziale: perché il tempo di reazione è cruciale

“Zero-day sfruttata in the wild” è una frase che spesso viene letta come etichetta giornalistica. In realtà è un dato di rischio: vuol dire che l’attacco è avvenuto quando non esisteva ancora una correzione pubblica. L’exploit non è un’ipotesi, è un fatto osservabile.

La seconda parte, “in the wild”, è la più sottovalutata. Segnala che non siamo davanti a un proof of concept dimostrativo ma a un uso in campagne reali, con vittime reali. In questo scenario il tempo diventa un moltiplicatore: più aspettiamo, più il numero di macchine esposte resta alto e più cresce la probabilità che l’attacco trovi un varco.

C’è anche un meccanismo tecnico che accelera tutto dopo il Patch Tuesday. Quando la patch è pubblica, un attaccante può studiare la differenza tra prima e dopo e costruire varianti di exploit con meno sforzo. Qui, però, l’exploit era già attivo prima. Questo è il motivo per cui, in febbraio, non possiamo ragionare in settimane.

In breve

  • Priorità 1: patch immediata dei sei zero-day su endpoint e server critici, con focus su Windows e Office.
  • Priorità 2: server con Remote Desktop Services, VDI e jump box, perché una EoP locale su multiutente amplifica l’incidente.
  • Priorità 3: CVE Critical lato Azure e componenti cloud presenti nel tuo stack, più toolchain e SDK coinvolti.
  • Controllo: verifica patch installate e riavvii completati, poi hunting mirato su catene Word e processi lanciati da Explorer.

Febbraio 2026: Patch Tuesday con 6 zero-day sotto attacco

Abbiamo contato 58 nuove CVE nel pacchetto Microsoft del mese. Il perimetro non è “solo Windows”: dentro ci sono Windows e componenti, Office e componenti Office, Azure, Edge basato su Chromium, .NET e Visual Studio, GitHub Copilot, Exchange Server, Internet Explorer, Power BI, Hyper-V Server e Windows Subsystem for Linux. Nella release sono elencati anche aggiornamenti di terze parti e Chromium che portano il totale a 62.

Il dato che cambia la giornata resta un altro: sei vulnerabilità già sfruttate e tre anche pubblicamente note. Nessuna di queste è marcata come Critical, ed è proprio qui che tanti sbagliano lettura. In un mese normale la severità guida l’ordine. In un mese con zero-day in-the-wild, guida lo sfruttamento.

Nota operativa: la sezione seguente entra nel dettaglio delle CVE e delle azioni pratiche. Se devi decidere cosa patchare entro oggi, questo è il blocco da leggere.

Sommario dei contenuti

Le 6 zero-day: cosa sono e cosa fanno

Le sei CVE già sfruttate si dividono in due blocchi, e questa divisione è il primo insight utile. Da una parte abbiamo tre Security Feature Bypass che mirano ai guard rail di Windows e Office. Dall’altra due Elevation of Privilege che portano a SYSTEM e un Denial of Service locale su un componente di connessione.

Le bypass sono un acceleratore di conversione. Quando un attaccante riesce a ridurre o saltare un avviso, aumenta la probabilità che un file venga eseguito e che un documento venga aperto senza freni. Le EoP sono l’altra metà della storia: una volta che un processo malevolo gira con privilegi bassi, l’escalation lo trasforma in compromissione piena. Il DoS, infine, è meno comune in campagne “classiche” ma lo vediamo in campo e quindi lo trattiamo come un rischio reale, non come curiosità.

Tabella rapida: CVE, impatto e priorità

CVE Componente Classe Cosa ottiene l’attaccante Dove patchare prima
CVE-2026-21510 Windows Shell Security Feature Bypass Bypass SmartScreen e prompt della shell con possibilità di esecuzione a un click Endpoint utente e macchine con download frequenti
CVE-2026-21514 Microsoft Word Security Feature Bypass Bypass protezioni su controlli COM/OLE potenzialmente pericolosi PC con Office, soprattutto chi riceve documenti via mail
CVE-2026-21513 MSHTML / Internet Explorer Security Feature Bypass Bypass che può riaprire superficie legacy e portare a esecuzione con interazione utente Endpoint Windows, ambienti con componenti legacy o WebBrowser control
CVE-2026-21519 Desktop Window Manager Elevation of Privilege Escalation locale a SYSTEM dopo un primo foothold Endpoint e server dove un attaccante potrebbe già essere “dentro”
CVE-2026-21533 Remote Desktop Services Elevation of Privilege Escalation locale a SYSTEM su sistemi con RDS attivo Host RDS, VDI, jump box, server multiutente
CVE-2026-21525 Remote Access Connection Manager Denial of Service Interruzione del servizio localmente, con impatto su connettività e stabilità Macchine critiche per accesso remoto e postazioni operative

Zero-day in the wild spiegata semplice

“Zero-day” non è un modo elegante per dire “grave”. È un modo preciso per dire “senza patch al momento dell’attacco”. Se una vulnerabilità viene sfruttata quando la correzione non esiste, significa che qualcuno ha investito per trovare e usare quel buco prima che noi potessimo chiuderlo.

“In the wild” aggiunge un dettaglio concreto: l’uso è stato osservato in attacchi reali. Questo cambia la gestione perché mette in conto due cose. Primo: l’attore malevolo ha già una catena funzionante, quindi non sta sperimentando. Secondo: quando la patch diventa pubblica, altri attori possono seguirne la traccia e scalare la stessa tecnica su più target.

Priorità di patching: ordine pratico

L’ordine non è un’opinione, è un calcolo. Partiamo dalle bypass perché sono spesso la prima porta di ingresso sulle workstation e puntano a farci eseguire cose che avremmo evitato. Subito dopo vengono le EoP, perché una volta che l’attaccante ha un processo su macchina, la differenza tra “incidente contenibile” e “incidente serio” è spesso l’ottenimento di privilegi elevati.

La seconda ondata riguarda il resto del pacchetto, con una regola semplice: patchare ciò che è esposto o centrale. Un esempio concreto: le vulnerabilità classificate come Critical su Azure includono componenti come Azure Front Door, Azure Arc e Azure Functions. In parallelo, alcune CVE con punteggi alti restano classificate come Important, e questo ci ricorda che la severità è una metrica tecnica mentre la priorità è una decisione operativa.

Cosa fare subito se sei un utente

Se usi Windows 10 o Windows 11, l’azione più efficace è banale e proprio per questo viene rimandata. Apri Impostazioni, vai su Windows Update, fai Cerca aggiornamenti, installa tutto e riavvia. Poi ripeti la verifica finché il sistema non risulta aggiornato.

Se hai Office, aggiornalo. Su Microsoft 365 Apps e su molte installazioni tradizionali l’update passa dalle opzioni dell’account di Office. Questo mese non è il caso di dire “tanto ho fatto Windows Update”, perché tra i sei zero-day c’è un bypass su Word.

Consiglio semplice per le prossime ore: evita scorciatoie e allegati inattesi, soprattutto se arrivano via mail o chat. Le bypass puntano proprio a ridurre l’attrito psicologico dell’apertura. Se qualcosa ti sembra “troppo facile”, fermati e verifica.

Cosa fare subito se sei IT

La risposta migliore è una patch strategy a due velocità. Una ring ristretta per validare rapidamente e poi rollout accelerato sui sistemi che combinano esposizione e impatto: endpoint utente, host RDS, VDI, jump box, macchine di supporto remoto. Il target realistico, qui, è comprimere la finestra.

La review di Rapid7 mette in evidenza un punto che in redazione condividiamo: le bypass sono spesso usate per togliere barriere a catene di phishing e dropper, quindi la difesa non è solo “installare KB” ma anche rinforzare policy che impediscano a Office e alla shell di comportarsi come launcher. Se in azienda hai Defender e policy di hardening, questa è la giornata in cui hanno senso.

Playbook rapido: patch immediata dei sei zero-day su endpoint e server RDS, controllo riavvii, verifica conformità. Se la distribuzione richiede ore, applica mitigazioni temporanee su file scaricati e processi ad alto rischio. Subito dopo, caccia a segnali di catene Word e anomalie su sistemi multiutente.

Verifica e hunting: controlli essenziali

La verifica non è un dettaglio amministrativo. È l’unico modo per evitare il falso senso di sicurezza del “l’update è partito”. Controlliamo patch installate, riavvii completati e versioni di Office nei canali aziendali. Solo dopo ha senso parlare di copertura.

Sul fronte hunting, cerchiamo pattern coerenti con questa classe di zero-day. Per le bypass: scorciatoie sospette e catene in cui Explorer o componenti web lanciano processi anomali. Per Word: documenti che innescano comportamenti fuori profilo, soprattutto quando un documento diventa un launcher. Per le EoP: segnali di escalation e post exploitation, quindi creazione di servizi, task e modifiche a gruppi privilegiati su macchine che non dovrebbero mostrare quel tipo di attività.

Guida pratica: aggiornare e verificare

Utenti: Windows Update e riavvio completo

Il punto fragile più comune è il riavvio. Se installi ma non riavvii, molte correzioni restano sospese. Verifica sempre che l’installazione sia completata e che il sistema non stia “aspettando” una ripartenza.

Office: non lasciarlo indietro

In questo ciclo c’è una bypass su Word. Se la tua organizzazione usa canali gestiti, il controllo va fatto sul canale e sulla versione, non sul singolo PC. Qui è facile avere un parco macchine eterogeneo.

IT: compliance visibile e misurabile

Che tu usi Intune, WSUS o Configuration Manager, il risultato deve essere una cosa semplice: un report di conformità che ti dice quanti endpoint sono effettivamente patchati, quanti sono in attesa di riavvio e quali sono bloccati. Senza questa fotografia, le sei zero-day restano un rischio non quantificato.

Il commento dell’esperto

La cosa interessante di febbraio 2026 è la forma, non solo il numero. Tre bypass di sicurezza nello stesso ciclo, già sfruttate, ci dicono che l’attaccante sta lavorando sul punto in cui l’utente decide. Se elimini o riduci l’avviso, aumenti la percentuale di esecuzioni riuscite. È un ragionamento “di prodotto”, applicato al malware.

Le due escalation a SYSTEM completano il disegno. In un ambiente reale, l’accesso iniziale spesso non è amministrativo. L’attaccante entra con poco, poi sale. È il passaggio che trasforma un’infezione in compromissione profonda e rende più probabile persistenza, furto di credenziali e movimento laterale.

Il terzo segnale è il DoS. Non è il classico exploit che fa headline, però quando viene usato in attacchi reali significa che qualcuno ha trovato utile interrompere un servizio, degradare la connettività o creare caos operativo. In un contesto aziendale, il caos è spesso un acceleratore di errori.

Questo è un commento editoriale: è una lettura basata sui dati del bollettino, sui dettagli tecnici delle CVE e sulle implicazioni operative, con deduzioni esplicitate dove serve.

A cura di Junior Cristarella.

Domande frequenti

Cosa rende “caldo” il Patch Tuesday di febbraio 2026?

Il numero che conta è sei: sei vulnerabilità risultavano già sfruttate in attacchi reali prima del rilascio delle patch. Questo sposta le priorità, perché l’exploit esiste già e la finestra utile è corta.

Che cosa significa “zero-day sfruttata in the wild”?

Significa che l’attacco è avvenuto quando non esisteva ancora una patch pubblica. “In the wild” indica uso in campagne reali, non solo prova di concetto in laboratorio. In pratica, non è un rischio ipotetico.

Se una CVE è “Important” posso aspettare?

Se è già sfruttata, no. La severità è una misura tecnica, lo sfruttamento è una misura di rischio operativo. Un bug “Important” usato in attacchi può essere più urgente di un “Critical” non ancora weaponizzato.

Windows Update basta o devo aggiornare anche Office?

In questo ciclo serve anche Office: tra le sei zero-day c’è un bypass che riguarda Microsoft Word. Se aggiorni solo Windows e lasci Office indietro, resti esposto su un punto di ingresso molto comune.

Uso RDP in azienda: perché devo muovermi subito?

Tra le sei zero-day c’è una Elevation of Privilege che riguarda Remote Desktop Services ed è locale. Su host multiutente e server accessibili via RDP, un utente o un processo già presente può trasformare un accesso limitato in privilegi elevati.

Come verifico in modo semplice di essere protetto?

Su PC: Impostazioni, Windows Update, Cronologia aggiornamenti e verifica che gli aggiornamenti cumulativi del ciclo siano installati. In azienda: controlla conformità da Intune, WSUS o Configuration Manager e verifica anche la versione di Office nel canale in uso.

Timeline operativa: apri le fasi e applicale in ordine

La timeline è pensata per IT e team sicurezza: serve a trasformare la lista CVE in azioni con priorità e verifiche.

  1. Fase 1 Triage: decidere cosa patchare per primo senza perdere tempo
    • Identifica endpoint con alto consumo di mail e documenti Office, più i server con Remote Desktop Services attivo.
    • Isola i “ponti” operativi: jump box, host RDS, macchine di assistenza remota e VDI.
    • Definisci una ring di emergenza: pochi asset, test rapido, via libera al rollout.

    Perché conta: Con sei zero-day già sfruttate, la priorità non è la perfezione del test ma la riduzione del rischio nelle prime ore.

  2. Fase 2 Patch 0-day: endpoint Windows e Office prima, poi RDS e infrastruttura
    • Distribuisci subito gli aggiornamenti cumulativi Windows del ciclo 10 febbraio 2026 su workstation e server.
    • Aggiorna Office e componenti correlati, inclusi canali aziendali e installazioni gestite.
    • Punta i server con RDS: una EoP locale su macchine multiutente è un moltiplicatore di danno.

    Perché conta: Qui non si tratta solo di “chiudere CVE” ma di togliere terreno a campagne già attive.

  3. Fase 3 Hardening temporaneo mentre distribuisci: ridurre attrito per l’attaccante
    • Rafforza SmartScreen e controlli su file scaricati, soprattutto per scorciatoie e contenuti HTML allegati.
    • Applica regole ASR e policy Office per limitare comportamenti ad alto rischio come processi figli inattesi.
    • Restringi accessi RDP e privilegi locali dove possibile in attesa della piena conformità.

    Perché conta: Le bypass mirano a eliminare gli avvisi. Se alziamo i guard rail, guadagniamo tempo anche prima della patch completa.

  4. Fase 4 Verifica post-deployment: conformità reale, non percepita
    • Controlla che le patch risultino installate e che i riavvii siano andati a buon fine, specie su endpoint intermittenti.
    • Verifica che Office e i componenti browser siano aggiornati nei canali usati in azienda.
    • Monitora log e telemetria per anomalie: processi avviati da Word, mshta e catene insolite da Explorer.

    Perché conta: Il punto cieco tipico non è l’assenza di patch ma la patch “scaricata e mai attivata” per riavvio mancante o fallimento silenzioso.

  5. Fase 5 Seconda ondata: cloud e toolchain, perché la superficie è più larga di Windows
    • Valuta le CVE critiche legate ad Azure e componenti cloud presenti nel tuo perimetro.
    • Aggiorna SDK e strumenti di sviluppo coinvolti, inclusi ambienti CI e workstation di developer.
    • Chiudi le eccezioni con una data: senza scadenza le eccezioni diventano debito permanente.

    Perché conta: In febbraio 2026 la release tocca anche servizi e strumenti: ignorarli significa lasciare porte laterali aperte.

Chiusura

Febbraio 2026 ci mette davanti un Patch Tuesday che non perdona lentezze. Sei zero-day già sfruttate significano una cosa semplice: il nemico era già in corsa e la patch è la nostra chance di chiudere terreno. Se stai leggendo da utente, aggiorna e riavvia. Se stai leggendo da IT, fai triage, patcha i sei zero-day e misura la conformità.

Firma digitale di Junior Cristarella
Firma digitale del direttore responsabile

Approfondimenti correlati

Tecnologia: notizie, guide e sicurezza

Il nostro hub tecnologia: aggiornamenti software, cybersecurity, vulnerabilità e guide pratiche per utenti e aziende.

Apri la pagina hub

Update log

Registro degli aggiornamenti sostanziali: trasparenza su modifiche, correzioni e integrazioni informative.

  • Domenica 15 febbraio 2026 alle ore 11:07: Inserita la tabella operativa con le sei CVE già sfruttate e la priorità di patching per endpoint e server con servizi RDP.
  • Domenica 15 febbraio 2026 alle ore 11:34: Aggiunta la sezione “Zero-day in the wild” con spiegazione semplice e ragionamento sul perché le prime 72 ore fanno la differenza.
  • Domenica 15 febbraio 2026 alle ore 11:56: Espansa la guida per IT con playbook 0-24 ore, controlli post-deployment e una traccia di hunting su processi e file a rischio.
Foto di Junior Cristarella
Autore Junior Cristarella Junior Cristarella segue quotidianamente la cybersecurity con focus su vulnerabilità, patching e impatti operativi per utenti e aziende: monitoraggio CVE, analisi dei bollettini e traduzione tecnica in azioni concrete.
Pubblicato Domenica 15 febbraio 2026 alle ore 10:15 Aggiornato Venerdì 6 marzo 2026 alle ore 09:16