Home Chi Sono
Servizi
WordPress Sviluppo Web Server & Hosting Assistenza Tecnica Windows Android
Blog
Tutti gli Articoli WordPress Hosting Plesk Assistenza Computer Windows Android A.I.
Contatti

Come Gestisco il Windows Update di Febbraio 2026: 6 Zero-Day Critiche Corrette, Certificati Secure Boot 2023 e Guida all’Aggiornamento Prioritario per Aziende

Come Gestisco il Windows Update di Febbraio 2026: 6 Zero-Day Critiche Corrette, Certificati Secure Boot 2023 e Guida all’Aggiornamento Prioritario per Aziende

Il Patch Tuesday di febbraio 2026 è stato uno di quelli che, nella mia esperienza di system administrator, classifico come “aggiornamento da fare subito”. Microsoft ha rilasciato il 10 febbraio aggiornamenti di sicurezza per 58 vulnerabilità, incluse sei zero-day già attivamente sfruttate e cinque falle classificate come Critical. In parallelo, è iniziato il rollout dei nuovi certificati Secure Boot 2023 in sostituzione di quelli del 2011 che scadranno a giugno 2026. In questo articolo vi racconto come ho affrontato l’aggiornamento sui sistemi che gestisco, cosa c’è da sapere sulle CVE più pericolose e come preparare l’infrastruttura aziendale alla transizione Secure Boot.

Se seguite il mio blog, saprete che ho già trattato le novità dell’aggiornamento di marzo 2026 (KB5077241): questo articolo si concentra invece sul ciclo di febbraio, che a mio avviso è stato ancora più critico dal punto di vista della sicurezza. Sei vulnerabilità sfruttate attivamente — un numero eccezionalmente alto per un singolo Patch Tuesday — rendono questo aggiornamento una priorità assoluta per qualsiasi organizzazione.

Chi gestisce PC aziendali, server Windows o ambienti ibridi con Azure non può permettersi di rimandare. Vediamo nel dettaglio cosa è successo e come intervenire.

Windows Update Febbraio 2026: I Numeri del Patch Tuesday

L’aggiornamento cumulativo per Windows 11 25H2/24H2 è identificato come KB5077181 (Build 26200.7840 / 26100.7840), mentre per Windows 11 23H2 è il KB5075941 (Build 22631.6649). Per Windows 10, Microsoft ha rilasciato KB5075912 tramite il programma Extended Security Updates.

In totale, le vulnerabilità corrette si suddividono così:

  • 25 Elevation of Privilege (EoP) — la categoria più numerosa, pari al 42,6% del totale
  • 12 Remote Code Execution (RCE)
  • 7 vulnerabilità di Spoofing
  • 6 Information Disclosure
  • 5 Security Feature Bypass
  • 3 Denial of Service

Tra le cinque vulnerabilità Critical, troviamo falle che interessano servizi Azure (tra cui Azure Front Door e ambienti di calcolo confidenziale), con potenziale impatto su organizzazioni che utilizzano infrastrutture cloud Microsoft.

Le 6 Vulnerabilità Zero-Day di Febbraio 2026: Analisi Dettagliata

Il dato che mi ha colpito di più è la concentrazione di sei zero-day attivamente sfruttate in un singolo ciclo di patch. Per dare un contesto, a gennaio 2026 ce n’era stata solo una. Come ha osservato la Zero Day Initiative, il numero è “extraordinarily high” e potrebbe segnalare l’inizio di un periodo particolarmente caldo per lo sfruttamento di vulnerabilità Windows.

CVE-2026-21510 — Windows Shell Security Feature Bypass (CVSS 8.8)

Questa è probabilmente la più pericolosa del gruppo. Si tratta di un bypass delle protezioni Windows SmartScreen e dei prompt di sicurezza della Shell di Windows. Un attaccante può convincere un utente ad aprire un link malevolo o un file .lnk (collegamento) e, grazie a questa falla, il contenuto viene eseguito senza alcun avviso o finestra di conferma. In pratica, le protezioni Mark-of-the-Web (MoTW) vengono completamente eluse. La vulnerabilità colpisce tutte le versioni supportate di Windows ed è stata scoperta da più team, incluso il Google Threat Intelligence Group.

CVE-2026-21513 — MSHTML Framework Security Feature Bypass (CVSS 8.8)

Questa vulnerabilità è particolarmente insidiosa perché sfrutta il motore di rendering HTML legacy ancora presente in Windows: MSHTML (il vecchio motore di Internet Explorer). L’analisi di Akamai ha rivelato che il gruppo APT28 (Fancy Bear), un attore sponsorizzato dalla Russia, ha sfruttato questa falla prima ancora che fosse disponibile la patch. Il campione malevolo è stato caricato su VirusTotal il 30 gennaio 2026, poco prima del Patch Tuesday. La falla risiede nella logica di navigazione dei link all’interno di ieframe.dll: una validazione insufficiente degli URL permette l’esecuzione di risorse al di fuori del contesto di sicurezza del browser tramite ShellExecuteExW.

CVE-2026-21514 — Microsoft Word Security Feature Bypass (CVSS 7.8)

Strettamente correlata alla precedente, questa vulnerabilità colpisce Microsoft Word e permette di aggirare le mitigazioni OLE (Object Linking and Embedding). Un file Office malevolo può sfruttare input non affidabili nelle decisioni di sicurezza, permettendo l’esecuzione di controlli COM/OLE vulnerabili senza le protezioni previste. La complessità dell’attacco è bassa, rendendola facilmente sfruttabile tramite phishing con allegati malevoli.

CVE-2026-21519 — Desktop Window Manager EoP (CVSS 7.8)

Una falla di type confusion nel Desktop Window Manager che consente a un attaccante locale con bassi privilegi di elevarsi a SYSTEM. È il secondo mese consecutivo con un DWM exploit attivo — il che suggerisce che la patch di gennaio non abbia risolto completamente il problema. Non richiede interazione utente e ha bassa complessità, rendendola perfetta per catene di attacco post-compromissione.

CVE-2026-21533 — Windows Remote Desktop Services EoP (CVSS 7.8)

Scoperta e segnalata da CrowdStrike, questa vulnerabilità permette a un attaccante autenticato locale di elevare i privilegi a SYSTEM tramite Remote Desktop Services. L’exploit modifica una chiave di configurazione del servizio per aggiungere un nuovo utente al gruppo Administrators. CrowdStrike ha rilevato che attori malevoli hanno utilizzato questo exploit per colpire organizzazioni negli Stati Uniti e Canada almeno dal 24 dicembre 2025.

CVE-2026-21525 — Remote Access Connection Manager DoS (CVSS 7.1)

Insolita come zero-day, questa è una vulnerabilità Denial of Service nel Remote Access Connection Manager (RASMAN). Un null pointer dereference permette a un attaccante locale di crashare il servizio, interrompendo le connessioni VPN. È raro vedere bug DoS attivamente sfruttati, il che sottolinea quanto sia aggressivo il panorama delle minacce attuale.

CISA Aggiunge Tutte le Zero-Day al Catalogo KEV

La gravità della situazione è confermata dal fatto che la CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto tutte e sei le vulnerabilità al proprio Known Exploited Vulnerabilities (KEV) catalog, imponendo alle agenzie federali statunitensi di applicare le correzioni entro il 3 marzo 2026. Per le aziende private, questo è un chiaro segnale: applicare le patch il prima possibile.

Certificati Secure Boot 2023: La Transizione Prima della Scadenza di Giugno 2026

Oltre alle patch di sicurezza, il Windows Update di febbraio 2026 segna l’inizio ufficiale del rollout dei nuovi certificati Secure Boot. Questa è una delle operazioni di manutenzione della sicurezza più grandi e coordinate dell’ecosistema Windows, e nella mia esperienza di gestione server è un tema che richiede attenzione immediata.

Perché i Certificati Scadono

I certificati originali furono introdotti nel 2011 insieme a Secure Boot su Windows 8. Dopo più di 15 anni di servizio continuato, stanno raggiungendo la fine del loro ciclo di vita pianificato. Il primo certificato (Microsoft Corporation KEK CA 2011 e Microsoft UEFI CA 2011) scade il 27 giugno 2026, seguito dal Microsoft Windows Production PCA 2011 in ottobre 2026.

Cosa Succede Se Non Si Aggiorna

I dispositivi che non ricevono i certificati aggiornati prima della scadenza continueranno a funzionare normalmente, ma entreranno in quello che Microsoft definisce uno “stato di sicurezza degradato”. In pratica:

  • Non potranno ricevere aggiornamenti di sicurezza per il processo di boot
  • Non potranno installare nuove mitigazioni per vulnerabilità a livello di boot
  • Non considereranno attendibile il software di terze parti firmato con i nuovi certificati
  • Col tempo, potrebbero sorgere problemi di compatibilità con firmware, hardware e sistemi operativi più recenti

Chi si ricorda di BlackLotus, il primo bootkit UEFI capace di bypassare Secure Boot su sistemi Windows 11 aggiornati, capisce perché questa transizione è fondamentale. I nuovi certificati sono direttamente collegati alla mitigazione di CVE-2023-24932.

La Nuova Struttura dei Certificati

Microsoft non ha semplicemente rinnovato i vecchi certificati — li ha ristrutturati. La nuova gerarchia include:

  • Microsoft Corporation KEK 2K CA 2023 — sostituisce il KEK 2011, autorizza aggiornamenti a DB e DBX
  • Windows UEFI CA 2023 — firma i componenti del boot loader Windows
  • Microsoft Option ROM UEFI CA 2023 — specifico per firmware di terze parti e schede aggiuntive (GPU, NIC)

Questa separazione è un miglioramento significativo: i sistemi che non necessitano di fidarsi degli Option ROM possono evitarlo, riducendo la superficie di attacco.

Differenze tra Windows Client e Windows Server

Un punto critico che ho scoperto durante la pianificazione: Windows 11 riceve i certificati automaticamente tramite Windows Update con il sistema Controlled Feature Rollout (CFR). Windows Server, invece, richiede un intervento manuale. Gli amministratori devono distribuire i certificati 2023 su tutti i server e le VM Generation 2 applicabili. Chi gestisce ambienti server deve consultare il playbook specifico per Windows Server e pianificare l’intervento entro giugno.

Come Verifico lo Stato di Secure Boot e dei Certificati

Ecco la procedura che utilizzo sui PC che gestisco:

  1. Premere Win + R, digitare msinfo32 e premere Invio
  2. Nella finestra Informazioni di sistema, cercare la voce Stato Secure Boot
  3. Se indica “Attivo”, il dispositivo è pronto a ricevere i certificati aggiornati
  4. Per verificare lo stato dei certificati, controllare la chiave di registro UEFICA2023Status

Per gli ambienti enterprise, consiglio di utilizzare Windows Autopatch che ora include un report dedicato allo stato di Secure Boot, utile per identificare i dispositivi già aggiornati e quelli che necessitano di intervento.

Attenzione importante: non disattivare e riattivare Secure Boot durante il processo di aggiornamento. Questo potrebbe cancellare i certificati aggiornati e causare un errore “Secure Boot violation”. In caso di problemi, è possibile creare un supporto di recovery Secure Boot.

Procedura di Aggiornamento Raccomandata per le Aziende

Nella mia esperienza, la strategia migliore per gestire un Patch Tuesday così critico segue questi step:

  1. Backup preventivo — Prima di qualsiasi intervento, eseguire un backup completo dei sistemi critici. Se utilizzate Plesk, vi rimando alla mia guida sui backup automatici con destinazione S3
  2. Test in ambiente staging — Installare KB5077181 su un campione rappresentativo di macchine prima del rollout generalizzato. All’inizio ho notato segnalazioni di problemi con GPU Nvidia e boot loop su alcune configurazioni
  3. Prioritizzare le sei zero-day — Se non potete aggiornare tutto subito, concentrate le risorse sui sistemi esposti a internet e quelli con Remote Desktop Services attivo
  4. Verificare i firmware OEM — Prima di applicare i certificati Secure Boot 2023, assicuratevi di avere l’ultimo BIOS/UEFI disponibile dal produttore
  5. Monitorare Event ID 1795 — Se Windows Logs > System registra questo evento, significa che c’è stato un errore nel passaggio dei certificati al firmware. Contattate il vendor OEM per un aggiornamento firmware
  6. Documentare e verificare — Dopo il reboot, verificare che Secure Boot sia ancora attivo e controllare il valore della chiave di registro UEFICA2023Status

Vulnerabilità RCE in GitHub Copilot e IDE per Sviluppatori

Un aspetto che non va sottovalutato riguarda gli sviluppatori: il Patch Tuesday di febbraio include correzioni per vulnerabilità Remote Code Execution in GitHub Copilot, Visual Studio Code, Visual Studio e prodotti JetBrains. Per chi usa questi strumenti quotidianamente (come racconto nel mio articolo su AI coding tool nel 2026), è fondamentale aggiornare anche gli ambienti di sviluppo.

Bug Fix Importanti Inclusi in KB5077181

Oltre alla sicurezza, l’aggiornamento risolve diversi problemi funzionali che avevano afflitto gli utenti nelle settimane precedenti:

  • Fix VSM shutdown bug — I PC con Virtual Secure Mode che si riavviavano invece di spegnersi dopo la patch di gennaio sono ora corretti
  • Fix WPA3 Wi-Fi — Risolto il problema di connettività a reti WPA3-Personal introdotto con KB5074105
  • Fix SmartScreen logging — Ripristinato il logging degli eventi Microsoft Defender SmartScreen AppRep
  • Fix GPU/Gaming — Miglioramenti per i problemi di schermo nero e artefatti grafici con GPU Nvidia emersi dopo gli aggiornamenti di gennaio

Se avete riscontrato problemi dopo aggiornamenti precedenti, questo update dovrebbe migliorare la situazione.

Windows 10: Aggiornamenti Solo con Extended Security Updates

Punto fondamentale per chi ha ancora PC con Windows 10: i dispositivi che eseguono versioni non supportate (Windows 10 e precedenti, esclusi quelli iscritti agli Extended Security Updates) non riceveranno Windows Update né i nuovi certificati Secure Boot. Microsoft continua a raccomandare il passaggio a Windows 11. Se state ancora usando Windows 10 in azienda, questa è l’ennesima ragione per pianificare la migrazione o quantomeno l’iscrizione al programma ESU.

FAQ

Quante vulnerabilità zero-day sono state corrette nel Patch Tuesday di febbraio 2026?

Microsoft ha corretto sei vulnerabilità zero-day attivamente sfruttate nel Patch Tuesday di febbraio 2026, di cui tre erano anche state divulgate pubblicamente. Le CVE coinvolte sono: CVE-2026-21510 (Windows Shell), CVE-2026-21513 (MSHTML), CVE-2026-21514 (Word), CVE-2026-21519 (Desktop Window Manager), CVE-2026-21533 (Remote Desktop Services) e CVE-2026-21525 (Remote Access Connection Manager). La CISA le ha tutte aggiunte al catalogo KEV con scadenza di remediation al 3 marzo 2026.

Cosa succede se non aggiorno i certificati Secure Boot prima di giugno 2026?

Il PC continuerà a funzionare e ad avviarsi normalmente, ma entrerà in uno “stato di sicurezza degradato”. Non potrà ricevere aggiornamenti di sicurezza per il processo di boot, non potrà installare nuove mitigazioni per vulnerabilità a livello firmware e col tempo potrebbero sorgere problemi di compatibilità con sistemi operativi e hardware più recenti. Considerate che BlackLotus ha dimostrato quanto sia pericoloso avere un Secure Boot non aggiornato.

I certificati Secure Boot 2023 si installano automaticamente?

Su Windows 11 sì: Microsoft li distribuisce automaticamente tramite Windows Update con il sistema Controlled Feature Rollout. Su Windows Server, invece, è necessario un intervento manuale da parte degli amministratori. Inoltre, alcuni dispositivi potrebbero richiedere un aggiornamento del firmware BIOS/UEFI dal produttore OEM prima che i certificati possano essere applicati.

Quale aggiornamento devo installare su Windows 11?

Per Windows 11 versione 25H2 e 24H2 l’aggiornamento è KB5077181 (Build 26200.7840 / 26100.7840). Per Windows 11 23H2 è il KB5075941 (Build 22631.6649). Per Windows 10, la patch è KB5075912 disponibile solo tramite Extended Security Updates. Potete installarli tramite Windows Update o scaricarli manualmente dal Microsoft Update Catalog.

La vulnerabilità CVE-2026-21513 (MSHTML) è stata sfruttata da gruppi APT?

Sì. L’analisi di Akamai ha confermato che il gruppo russo APT28 (Fancy Bear) ha sfruttato CVE-2026-21513 come zero-day prima del rilascio della patch. Un campione malevolo è stato individuato su VirusTotal già il 30 gennaio 2026. L’exploit utilizza file LNK malevoli con HTML incorporato e sfrutta la navigazione dei link all’interno di ieframe.dll per bypassare le protezioni di sicurezza del browser.

Conclusione: Aggiornamento Prioritario per Tutti

Il Windows Update di febbraio 2026 è uno di quei cicli di aggiornamento che non si possono rimandare. Sei zero-day attivamente sfruttate — con il coinvolgimento di gruppi APT statali come APT28 — più l’inizio della transizione dei certificati Secure Boot 2023 rendono questo Patch Tuesday un momento cruciale per la sicurezza di qualsiasi infrastruttura Windows.

Il mio consiglio, basato sull’esperienza diretta con decine di sistemi aziendali: testate rapidamente, ma non aspettate. Ogni giorno senza queste patch è un giorno di esposizione a vulnerabilità già attivamente sfruttate nel mondo reale. E per i certificati Secure Boot, iniziate la pianificazione ora: giugno 2026 arriva in fretta.

Se avete dubbi sulla procedura o avete riscontrato problemi post-aggiornamento, lasciate un commento qui sotto. E per chi si occupa anche di sicurezza server web, vi consiglio di dare un’occhiata alla mia guida sulla protezione WordPress dalle vulnerabilità plugin e alla checklist NIS2 per server Plesk — perché la sicurezza non è mai un singolo aggiornamento, ma un processo continuo.

Share: