Un bug critico in Microsoft 365 impedisce il download delle app desktop, il protocollo TLS 1.3 rivela limiti strutturali nella forward secrecy, Cisa aggiunge una vulnerabilità SCADA al catalogo KEV e Freedom Mobile segnala un nuovo incidente privacy dovuto a un accesso non autorizzato tramite subcontractor. Nel primo periodo emergono gli elementi più rilevanti: un errore nel processo di verifica licenze di Microsoft interrompe la produttività di migliaia di utenti, il dibattito sulla sicurezza dei dati 0-RTT in TLS 1.3 evidenzia rischi sottovalutati, Cisa segnala lo sfruttamento attivo della vulnerabilità CVE-2021-26828 nei sistemi OpenPLC ScadaBR e Freedom Mobile conferma un accesso illecito che espone informazioni personali dei clienti canadesi. Questi eventi, diversi per natura ma collegati dalla crescente complessità dell’ecosistema digitale, indicano la necessità di controlli più rigorosi su aggiornamenti software, protocolli crittografici, supply chain e sistemi industriali.
Cosa leggere
Il bug in Microsoft 365 e i suoi impatti
Microsoft indaga un bug critico che dal 2 novembre impedisce agli utenti di scaricare le app desktop di Microsoft 365 dalla homepage del servizio. Il problema risiede in un errore di codice introdotto in un aggiornamento di servizio recente, che compromette la verifica della licenza e causa il fallimento sistematico del download. L’incidente colpisce qualsiasi utente che tenta l’operazione e viene classificato come critico, poiché incide direttamente sulla capacità delle organizzazioni di utilizzare gli strumenti Office. Il team Microsoft sviluppa una correzione e la testa in ambienti controllati, garantendo che non introduca regressioni. La compagnia promette aggiornamenti entro la stessa giornata e mantiene comunicazioni trasparenti con gli utenti. Parallelamente, Microsoft risolve un problema separato nel nuovo Outlook, dove alcuni allegati Excel non si aprono a causa di una codifica errata dei nomi dei file. Anche questo difetto evidenzia la fragilità degli ecosistemi cloud-based: errori minimi nel codice comportano interruzioni estese della produttività. La risposta rapida sottolinea l’importanza di processi di QA più severi e di controlli automatizzati sugli aggiornamenti di servizio.
Miglioramenti e limiti in TLS 1.3
Il protocollo TLS 1.3 rappresenta un importante passo avanti nella sicurezza delle comunicazioni, soprattutto per il suo supporto alla forward secrecy. Durante il handshake completo, le chiavi derivano da uno scambio ephemeral Diffie-Hellman, risultando uniche per ogni sessione e non collegate a segreti a lungo termine. Questa proprietà garantisce che la compromissione di una chiave privata non permetta la decrittazione retroattiva di sessioni passate. Tuttavia, il meccanismo 0-RTT, introdotto per ridurre la latenza e risparmiare un round trip time, utilizza dati cifrati con chiavi derivate da segreti potenzialmente longevi, compromettendo la forward secrecy. Un attaccante che intercetti dati 0-RTT e successivamente comprometta il segreto principale può decifrare il contenuto delle sessioni precedenti, creando un rischio non trascurabile per sistemi sensibili. Il RFC 8446 non definisce rigorosamente la forward secrecy e non permette al client di verificare come il server gestisca i segreti a lungo termine, lasciando un margine interpretativo sfruttabile da implementazioni meno sicure. La discussione su GitHub, guidata da contributor IETF, chiarisce la portata del rischio e porta alla revisione del documento attraverso il nuovo draft ietf-tls-rfc8446bis, che renderà più esplicita la distinzione tra sicurezza del handshake e limiti del 0-RTT. TLS 1.3 rimane robusto, ma richiede scelte consapevoli da parte delle applicazioni: ridurre la latenza significa accettare compromessi sulla forward secrecy, un trade-off che non tutte le architetture possono tollerare.
Vulnerabilità CVE-2021-26828 aggiunta da Cisa
Il 3 dicembre 2025, Cisa aggiunge al catalogo Known Exploited Vulnerabilities la vulnerabilità CVE-2021-26828, relativa a un difetto di caricamento non limitato di file pericolosi nei sistemi OpenPLC ScadaBR, ampiamente usati in ambito industriale. L’aggiunta avviene sulla base di evidenze di sfruttamento attivo, indicando che attori malevoli stanno già utilizzando la falla per compromettere infrastrutture sensibili.
CVE-2021-26828 OpenPLC ScadaBR Unrestricted Upload of File with Dangerous Type Vulnerability
La vulnerabilità consente a un attaccante di caricare file arbitrari, potenzialmente ottenendo esecuzione di codice o privilegi elevati su sistemi SCADA. Essendo una falla di supply chain OT/ICS, l’impatto può interessare aziende energetiche, impianti industriali, strutture pubbliche e fornitori critici. Il BOD 22-01 obbliga tutte le agenzie federali statunitensi FCEB a eseguire remediation entro le scadenze, ma la raccomandazione viene estesa anche al settore privato. L’aggiornamento del catalogo KEV riflette un principio crescente nella gestione delle vulnerabilità: prioritizzare ciò che è realmente sfruttato, non ciò che è solo teoricamente rischioso. L’inclusione della CVE-2021-26828 orienta aziende e amministrazioni verso patch immediate, riducendo superfici d’attacco e prevenendo compromissioni persistenti.
