Netcrook Logo
👤 KERNELWATCHER
🗓️ 21 Apr 2026   🌍 North America

Il miraggio della sicurezza di Microsoft: meno bug, ma il pericolo si intensifica sotto la superficie

Mentre Microsoft si vanta di un calo delle vulnerabilità complessive, un’impennata di falle critiche e nuove minacce alle identità cloud e AI richiedono un’attenzione urgente.

A prima vista, gli ultimi numeri sulla sicurezza di Microsoft sembrano un motivo di cauto ottimismo: meno vulnerabilità, meno ragioni per preoccuparsi. Ma gli esperti di cybersecurity avvertono che questo apparente progresso sta mascherando una realtà molto più pericolosa - una realtà in cui le falle rimaste sono più affilate, più potenti e sempre più mirate al cuore del business moderno.

Dati rapidi

  • Le vulnerabilità totali del software Microsoft sono diminuite del 6% a 1.273 nell’ultimo anno.
  • Il numero di vulnerabilità critiche è raddoppiato, soprattutto in Office e Azure.
  • Le vulnerabilità di Office sono triplicate, con bug critici aumentati di dieci volte, molti dei quali sfruttano il riquadro di anteprima.
  • Gli attacchi ora prendono sempre più di mira le “identità non umane” - account automatizzati e agenti AI.
  • Le vulnerabilità di Microsoft Edge sono crollate dell’83%, mostrando alcuni successi di sicurezza a livello architetturale.

Sotto i numeri: una concentrazione del rischio

Secondo il 13° Microsoft Vulnerabilities Report annuale di BeyondTrust, pubblicato questa settimana, il numero totale di falle software sulle piattaforme Microsoft è diminuito. Ma il diavolo è nei dettagli: le vulnerabilità critiche - quelle che offrono agli attaccanti i percorsi più rapidi e catastrofici verso il controllo - sono raddoppiate. “Il rischio non sta diminuendo, si sta concentrando, e si sta concentrando attorno ai privilegi”, avverte James Maude, Field CTO di BeyondTrust.

I picchi più gravi sono emersi in Microsoft Office, un pilastro del lavoro quotidiano. Le vulnerabilità di Office sono triplicate a 157, con le falle critiche aumentate di dieci volte. Gli attacchi più insidiosi sfruttano il riquadro di anteprima, consentendo l’esecuzione di codice malevolo non appena un utente evidenzia un allegato email - senza bisogno di clic.

Le piattaforme cloud non sono state risparmiate: Azure e Dynamics 365 hanno visto i loro bug critici aumentare di nove volte, nonostante un numero totale di problemi inferiore. La minaccia più rilevante, CVE-2025-55241, ha esposto una falla in Azure Entra ID che potrebbe permettere agli attaccanti di impersonare un Global Administrator, aggirando confini di fiducia fondamentali del cloud e aprendo la strada a una compromissione su scala aziendale.

Il fantasma nella macchina: identità non umane sotto assedio

Se gli utenti umani restano a rischio, il report mette in luce una nuova frontiera: le identità non umane (NHI). Si tratta di account di servizio automatizzati, bot e agenti AI che operano silenziosamente in background - e spesso dispongono di accessi di alto livello senza le tutele tipiche per gli utenti umani. “Fantasmi nella macchina”, come li definisce BeyondTrust, sono ora bersagli privilegiati per spionaggio ed escalation dei privilegi.

Gli attacchi di Elevation of Privilege (EoP) hanno rappresentato il 40% delle vulnerabilità lo scorso anno, consentendo agli attaccanti di passare da un account di base a uno con poteri estesi, spesso disattivando nel frattempo i controlli di sicurezza.

Spiragli positivi e avvertimenti netti

Non tutte le notizie sono fosche. Le vulnerabilità di Microsoft Edge sono diminuite drasticamente e i bug di Security Feature Bypass sono calati del 36% grazie a guardrail di sicurezza migliorati. Ma l’enorme volume di patch - 114 in un singolo Patch Tuesday, incluse tre exploit zero-day attivi - sottolinea la pressione incessante sui difensori.

Gli esperti affermano che la chiave non è solo applicare le patch, ma limitare radicalmente i privilegi sia per gli utenti sia per le identità automatizzate. Con il proliferare di configurazioni errate nel cloud e di attacchi guidati dall’AI, i test avversariali e la supervisione umana devono tenere il passo con il machine learning e l’automazione. “La domanda non è ‘riusciamo a trovare quelle configurazioni errate?’, ma ‘quanto presto e quanto rapidamente?’”, dice Trey Ford di Bugcrowd.

Conclusione: il nuovo campo di battaglia

Il calo del numero di vulnerabilità di Microsoft è un miraggio se le falle critiche si moltiplicano nell’ombra. Mentre gli attaccanti cambiano tattiche e prendono di mira la forza lavoro invisibile di bot e AI, le organizzazioni devono ripensare le proprie difese. L’era del “configura e dimentica” è finita - vigilanza costante, accesso a privilegi minimi e una combinazione di intelligenza umana e artificiale sono ormai il prezzo della sopravvivenza nelle trincee digitali.

WIKICROOK

  • Vulnerabilità critica: Una vulnerabilità critica è una grave falla di sicurezza che gli attaccanti possono sfruttare per causare danni seri, come violazioni di dati o compromissioni di sistema.
  • Elevation of Privilege (EoP): L’Elevation of Privilege (EoP) è una falla di sicurezza che consente agli attaccanti di ottenere diritti di accesso più elevati del previsto, ad esempio trasformando un utente normale in un amministratore.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste alcuna correzione disponibile, rendendola altamente preziosa e pericolosa per gli attaccanti.
  • Non: Un’identità non umana è una credenziale digitale utilizzata da software o macchine, non da persone, per accedere in modo sicuro a sistemi e dati.
  • Attacco al riquadro di anteprima: Un attacco al riquadro di anteprima sfrutta le funzionalità di anteprima di email o file per eseguire automaticamente codice malevolo, spesso senza alcuna interazione o consapevolezza da parte dell’utente.
Microsoft Security Critical Vulnerabilities Non-Human Identities
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news