Tregua per Windows 10 ESU: Microsoft regala un altro anno di aggiornamenti gratis, ma CISA lancia l’allarme su due nuovi exploit

🛡️ Executive Summary

• CISA inserisce nel catalogo KEV le vulnerabilità **CVE-2026-12569** e **CVE-2026-20230**, entrambe già sfruttate in attacchi reali.
• Microsoft prolunga fino al 12 ottobre 2027 il programma gratuito ESU per Windows 10 consumer, offrendo più tempo per la migrazione.
• Le due iniziative puntano a ridurre il rischio derivante da sistemi vulnerabili attraverso patch tempestive e aggiornamenti di sicurezza estesi.

La sicurezza informatica continua a essere al centro dell’attenzione con due sviluppi che interessano sia il settore enterprise sia gli utenti consumer. Da una parte la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il catalogo delle Known Exploited Vulnerabilities (KEV) inserendo due nuove vulnerabilità già sfruttate attivamente dagli attaccanti. Dall’altra Microsoft ha deciso di estendere di un ulteriore anno il programma gratuito Extended Security Updates (ESU) dedicato a Windows 10, consentendo agli utenti di continuare a ricevere aggiornamenti di sicurezza fino al 12 ottobre 2027. Sebbene le due notizie riguardino ambiti differenti, entrambe evidenziano la crescente importanza della gestione delle vulnerabilità e dell’aggiornamento continuo dei sistemi per limitare la superficie d’attacco e ridurre i rischi di compromissione.

CISA aggiunge due nuove vulnerabilità al catalogo KEV

La CISA ha inserito nel catalogo Known Exploited Vulnerabilities due nuove falle che risultano già sfruttate in campagne di attacco reali. La prima, identificata come CVE-2026-12569, interessa PTC Windchill e FlexPLM ed è classificata come una vulnerabilità di Improper Input Validation, che può consentire a un attaccante di manipolare dati non adeguatamente verificati dall’applicazione. La seconda, CVE-2026-20230, riguarda invece Cisco Unified Communications Manager ed è una vulnerabilità di tipo Server-Side Request Forgery (SSRF), tecnica che permette a un aggressore di indurre il server vulnerabile a effettuare richieste verso sistemi interni o servizi normalmente non accessibili dall’esterno.

• CVE-2026-12569 PTC Windchill and FlexPLM Improper Input Validation Vulnerability
• CVE-2026-20230 Cisco Unified Communications Manager Server-Side Request Forgery (SSRF) Vulnerability

L’inserimento nel catalogo KEV avviene esclusivamente quando esistono prove concrete di sfruttamento attivo e rappresenta un segnale importante per amministratori di sistema e responsabili della sicurezza, chiamati a intervenire rapidamente per limitare il rischio di compromissione delle infrastrutture.

Le vulnerabilità KEV rappresentano una priorità per le organizzazioni

Il catalogo Known Exploited Vulnerabilities costituisce uno dei principali riferimenti operativi utilizzati dalle organizzazioni per definire le priorità nella gestione delle patch. A differenza di altri elenchi di vulnerabilità, il KEV include esclusivamente falle per le quali è stato osservato uno sfruttamento concreto in ambienti reali. Questo significa che i sistemi vulnerabili risultano già nel mirino di gruppi criminali o attori statali e che il rischio non è più teorico ma operativo. La CISA invita tutte le organizzazioni, comprese quelle non appartenenti all’amministrazione federale statunitense, a verificare tempestivamente la presenza dei prodotti coinvolti e ad applicare gli aggiornamenti di sicurezza messi a disposizione dai rispettivi produttori. Un intervento rapido riduce significativamente la possibilità che le vulnerabilità vengano sfruttate per ottenere accesso non autorizzato, compromettere servizi aziendali o avviare ulteriori fasi dell’attacco all’interno delle reti bersaglio.

Microsoft prolunga il programma ESU gratuito per Windows 10

Parallelamente agli aggiornamenti del catalogo KEV, Microsoft ha modificato la documentazione ufficiale relativa al programma Extended Security Updates annunciando l’estensione del supporto gratuito per Windows 10 fino al 12 ottobre 2027. In origine il programma gratuito era previsto fino al 12 ottobre 2026, ma l’azienda ha deciso di concedere un ulteriore anno agli utenti consumer che non hanno ancora completato la migrazione verso Windows 11. La decisione arriva dopo la conclusione del supporto standard di Windows 10, terminato il 14 ottobre 2025, data dalla quale il sistema operativo non riceve più aggiornamenti di sicurezza se non attraverso il programma ESU. L’estensione offre quindi più tempo per pianificare la sostituzione dei dispositivi non compatibili con Windows 11 o per organizzare una migrazione graduale senza rinunciare alle patch di sicurezza critiche.

Come funziona il programma Extended Security Updates

Il programma ESU permette agli utenti di continuare a ricevere esclusivamente aggiornamenti di sicurezza critici e importanti per Windows 10 versione 22H2, senza introdurre nuove funzionalità o modifiche non strettamente legate alla protezione del sistema operativo. Microsoft mette a disposizione diverse modalità di accesso al programma gratuito. Gli utenti possono aderire sincronizzando le impostazioni del PC tramite un account Microsoft oppure riscattando 1.000 punti Microsoft Rewards. Rimane inoltre disponibile un’opzione commerciale dal costo di 30 dollari valida per un anno. Ogni licenza può essere utilizzata fino a dieci dispositivi personali associati allo stesso account Microsoft, mentre restano esclusi i computer gestiti tramite Active Directory, infrastrutture aziendali o piattaforme Mobile Device Management (MDM) utilizzate nelle organizzazioni. Una volta completata l’iscrizione attraverso Windows Update, il sistema continua a ricevere automaticamente le patch di sicurezza distribuite da Microsoft fino alla nuova data di scadenza.

Gli aggiornamenti ESU garantiscono solo la protezione essenziale

L’estensione del programma Extended Security Updates non modifica il ciclo di vita del sistema operativo e non introduce nuove funzionalità per Windows 10. Gli utenti continueranno a ricevere esclusivamente correzioni relative a vulnerabilità di sicurezza considerate critiche o importanti, mentre resteranno esclusi miglioramenti funzionali, nuove caratteristiche dell’interfaccia, ottimizzazioni delle prestazioni e supporto tecnico dedicato. Microsoft continua infatti a indicare Windows 11 come destinazione principale per la migrazione e incoraggia l’adozione di nuovi dispositivi compatibili, inclusi i sistemi Copilot+ PC, progettati per sfruttare le più recenti funzionalità basate sull’intelligenza artificiale. L’estensione dell’ESU rappresenta quindi una misura temporanea che consente di mantenere protetti i sistemi ancora basati su Windows 10 durante la fase di transizione, senza modificare la strategia di lungo periodo orientata al passaggio verso le piattaforme più recenti.

Aggiornamenti e patch restano la prima linea di difesa

Le decisioni assunte da CISA e Microsoft evidenziano ancora una volta come la gestione tempestiva degli aggiornamenti rappresenti uno degli strumenti più efficaci per ridurre il rischio informatico. L’inserimento di nuove vulnerabilità nel catalogo KEV richiama l’attenzione sulle minacce già sfruttate dagli attaccanti, mentre l’estensione del programma ESU offre agli utenti di Windows 10 un margine temporale aggiuntivo per pianificare la migrazione senza rinunciare agli aggiornamenti di sicurezza. Per aziende e utenti privati, il messaggio resta lo stesso: mantenere i sistemi aggiornati, applicare rapidamente le patch disponibili e pianificare con anticipo il ciclo di rinnovo delle piattaforme software rappresentano elementi fondamentali per limitare l’esposizione agli attacchi e garantire un livello di protezione adeguato in un panorama di minacce in continua evoluzione.