Microsoft ha rilasciato il Patch Tuesday di gennaio 2026 correggendo 114 vulnerabilità di sicurezza, incluse tre falle zero-day già sfruttate o pubblicamente note, che interessano Windows 11, Windows 10, Windows Server, Microsoft Office e componenti core del sistema operativo. Si tratta di uno dei cicli di aggiornamento più rilevanti degli ultimi mesi, non solo per il volume delle correzioni, ma per la natura strutturale delle vulnerabilità affrontate, che coinvolgono Desktop Window Manager, Secure Boot UEFI e driver legacy di terze parti. Gli aggiornamenti sono distribuiti tramite patch cumulative obbligatorie e includono anche un rinnovo critico dei certificati Secure Boot, destinato a prevenire bypass di sicurezza a partire dall’estate 2026.
Cosa leggere
Il quadro generale del Patch Tuesday di gennaio 2026
Il rilascio di gennaio corregge complessivamente 114 CVE, con una concentrazione significativa nelle categorie di elevazione dei privilegi, esecuzione remota di codice e divulgazione di informazioni. Otto vulnerabilità sono classificate come critiche, di cui sei consentono RCE e due permettono escalation di privilegi in componenti ad alta esposizione.
Il dato più rilevante, però, è la presenza di tre zero-day, uno dei quali attivamente sfruttato in the wild, mentre gli altri due risultavano pubblicamente noti prima del rilascio delle patch. Questo scenario conferma un trend ormai stabile: le vulnerabilità a basso livello, soprattutto quelle che colpiscono meccanismi di sicurezza fondamentali come Secure Boot e il kernel grafico, sono sempre più centrali nelle catene di attacco moderne.
CVE-2026-20805: divulgazione di informazioni nel Desktop Window Manager
Il primo zero-day corretto è CVE-2026-20805, una vulnerabilità di information disclosure nel Desktop Window Manager (DWM). La falla consente a un attaccante già autenticato di leggere indirizzi di memoria sensibili, sfruttando una gestione impropria delle comunicazioni tramite porte ALPC remote.
Pur non trattandosi di una vulnerabilità RCE diretta, il suo valore operativo è elevato perché permette di ottenere informazioni di contesto fondamentali, come layout della memoria e riferimenti interni, utili per bypassare mitigazioni come ASLR e costruire exploit più complessi. Secondo Microsoft, lo sfruttamento è stato osservato attivamente dal Microsoft Threat Intelligence Center, in collaborazione con il Microsoft Security Response Center, indicando l’utilizzo in attacchi mirati e non opportunistici.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Questa vulnerabilità rientra nel gruppo delle 22 falle di divulgazione di informazioni corrette nel mese, una categoria spesso sottovalutata ma cruciale nella fase di preparazione degli exploit avanzati.
CVE-2026-21265: il rischio sistemico del bypass Secure Boot
Il secondo zero-day, CVE-2026-21265, colpisce uno dei pilastri della sicurezza moderna di Windows: Secure Boot. La vulnerabilità non riguarda un singolo bug di codice, ma un problema strutturale legato alla scadenza di certificati UEFI storici, emessi nel 2011 e ancora ampiamente presenti nei firmware dei dispositivi.
I certificati coinvolti, tra cui Microsoft Corporation KEK CA 2011, UEFI CA 2011 e Windows Production PCA 2011, iniziano a scadere tra giugno e ottobre 2026. Senza un rinnovo tempestivo, sistemi apparentemente aggiornati rischiano di accettare boot loader non più affidabili, aprendo la strada a bootkit e rootkit pre-OS.
Gli aggiornamenti di gennaio introducono nuovi certificati Secure Boot, ma la distribuzione avviene in modo graduale e condizionato. Microsoft utilizza un sistema di targeting basato su segnali di aggiornamento positivi, inviando automaticamente i certificati solo ai dispositivi che dimostrano uno stato di manutenzione coerente. Questo approccio riduce il rischio di brick dei sistemi, ma richiede agli amministratori IT di monitorare attentamente lo stato di rollout, soprattutto in ambienti enterprise e su hardware legacy.
CVE-2023-31096: elevazione di privilegi tramite driver Agere Soft Modem
Il terzo zero-day, CVE-2023-31096, riguarda un driver legacy di terze parti, l’Agere Soft Modem, ancora presente su alcuni sistemi Windows per motivi di compatibilità hardware. La vulnerabilità consente a un attaccante locale di ottenere privilegi amministrativi, sfruttando una gestione non sicura delle richieste al driver.
La falla è stata segnalata da Zeze e TeamT5 e risulta particolarmente insidiosa perché colpisce componenti considerati obsoleti, spesso dimenticati nei processi di hardening. Microsoft ha scelto una soluzione drastica ma efficace: la rimozione completa dei driver vulnerabili, tra cui agrsm64.sys e agrsm.sys, attraverso gli aggiornamenti cumulativi.
L’effetto collaterale è che alcuni modem legacy smettono di funzionare dopo l’installazione delle patch, ma il rischio di mantenere attivi driver con privilegi kernel e vulnerabilità note è considerato troppo elevato per essere tollerato nel 2026.
Aggiornamenti cumulativi per Windows 11: KB5074109 e KB5073455
Per Windows 11, Microsoft ha rilasciato due aggiornamenti cumulativi principali. KB5074109 copre le versioni 25H2 e 24H2, portando rispettivamente le build a 26200.7623 e 26100.7462, mentre KB5073455 aggiorna la 23H2 alla build 22621.6050.
Oltre alle correzioni di sicurezza, questi aggiornamenti risolvono una serie di problemi operativi rilevanti, tra cui malfunzionamenti di networking in Windows Subsystem for Linux, errori di RemoteApp su Azure Virtual Desktop e comportamenti anomali dei dispositivi dotati di Neural Processing Unit, che restavano attivi in idle con impatto negativo sui consumi energetici.
Dal punto di vista della sicurezza, gli aggiornamenti incorporano la rimozione dei driver modem vulnerabili e preparano i sistemi alla transizione dei certificati Secure Boot, rendendo Windows 11 la piattaforma meglio posizionata per affrontare le scadenze di metà 2026.
- Adobe ha rilasciato aggiornamenti di sicurezza per InDesign, Illustrator, InCopy, Bridge, Substance 3D Modeler, Substance 3D Stager, Substance 3D Painter, Substance 3D Sampler, Coldfusion e Substance 3D Designer.
- Cisco ha rilasciato aggiornamenti di sicurezza per una vulnerabilità di Identity Services Engine (ISE) con un codice exploit proof-of-concept pubblico
- Fortinet ha rilasciato aggiornamenti di sicurezza per diversi prodotti, tra cui correzioni per due RCE.
- D-Link ha confermato che una nuova vulnerabilità sfruttata attivamente ha un impatto sui router ormai giunti al termine del loro ciclo di vita.
- Google ha pubblicato il bollettino sulla sicurezza di Android di gennaio , che include una correzione per un difetto critico del “DD+ Codec” che colpisce i componenti Dolby.
- jsPDF ha corretto una vulnerabilità critica che poteva essere sfruttata per introdurre di nascosto file arbitrari da un server durante la generazione di PDF.
- n8n ha risolto una vulnerabilità di massima gravità denominata ” Ni8mare ” che può essere utilizzata per dirottare i server.
- SAP ha rilasciato gli aggiornamenti di sicurezza di gennaio per diversi prodotti, tra cui una correzione per un difetto di iniezione di codice 9.9/10 in SAP Solution Manager.
- ServiceNow ha rivelato una vulnerabilità critica di escalation dei privilegi nella piattaforma ServiceNow AI.
- Trend Micro ha corretto una falla di sicurezza critica in Apex Central (on-premise) che potrebbe consentire agli aggressori di eseguire codice arbitrario con privilegi di SISTEMA.
- Veeam ha rilasciato aggiornamenti di sicurezza per correggere diverse falle di sicurezza nel suo software Backup & Replication, tra cui una vulnerabilità critica RCE.
Windows 10 e aggiornamenti di sicurezza estesi: KB5073724
Per Windows 10, Microsoft ha rilasciato KB5073724, un aggiornamento di sicurezza destinato ai sistemi Enterprise LTSC e ai dispositivi iscritti al programma Extended Security Updates (ESU). L’aggiornamento porta le build a 19045.6809 e 19044.6809 e include tutte le correzioni critiche del mese, inclusi i tre zero-day.
Anche in questo caso, la rimozione dei driver Agere rappresenta una misura di sicurezza necessaria ma potenzialmente impattante su hardware molto datato. Microsoft ribadisce implicitamente che Windows 10 è ormai in modalità mantenimento difensivo, con patch focalizzate esclusivamente su sicurezza e stabilità, e che la migrazione a Windows 11 resta la strategia raccomandata per una protezione completa.
Il rinnovo dei certificati Secure Boot: una scadenza da non ignorare
Uno degli aspetti più delicati del Patch Tuesday di gennaio 2026 è l’avvio operativo del rinnovo dei certificati Secure Boot. Secure Boot è il meccanismo che impedisce l’esecuzione di software non firmato durante l’avvio del sistema, e la scadenza dei certificati storici rappresenta un rischio sistemico per milioni di dispositivi.
Microsoft ha adottato un approccio prudente, distribuendo i nuovi certificati solo ai sistemi che soddisfano determinati criteri di aggiornamento e integrità. Tuttavia, in ambienti enterprise, gli amministratori devono verificare manualmente lo stato di Secure Boot, applicare eventuali aggiornamenti firmware dai produttori hardware e assicurarsi che le policy UEFI non blocchino l’installazione dei nuovi certificati.
Ignorare questo passaggio espone i sistemi a bypass del boot sicuro, perdita di serviceability e impossibilità di applicare aggiornamenti futuri a livello pre-OS.
Un Patch Tuesday che alza l’asticella della sicurezza
Il Patch Tuesday di gennaio 2026 segna un punto di svolta per la sicurezza Windows. La combinazione di 114 vulnerabilità corrette, tre zero-day di alto profilo e un intervento strutturale su Secure Boot dimostra come le superfici di attacco si stiano spostando sempre più verso i livelli più bassi dello stack.
Per utenti e organizzazioni, il messaggio è chiaro: ritardare l’installazione di questi aggiornamenti non è un’opzione. Le vulnerabilità corrette non sono teoriche, ma già inserite in catene di attacco reali, e il tema dei certificati Secure Boot introduce una variabile temporale che rende il patching non solo urgente, ma anche strategico nel medio periodo.
Domande frequenti su Microsoft Patch Tuesday gennaio 2026
Quanti zero-day sono stati corretti nel Patch Tuesday di gennaio 2026?
Microsoft ha corretto tre vulnerabilità zero-day, una delle quali risulta attivamente sfruttata, mentre le altre due erano pubblicamente note prima del rilascio delle patch.
Perché il rinnovo dei certificati Secure Boot è così importante?
I certificati Secure Boot storici scadono tra giugno e ottobre 2026. Senza rinnovo, i sistemi possono accettare boot loader non affidabili, esponendosi a rootkit e bootkit difficili da rilevare.
Windows 10 è ancora sicuro dopo questo aggiornamento?
Windows 10 resta sicuro solo se coperto da Extended Security Updates o nelle edizioni Enterprise LTSC. Tuttavia, riceve solo patch difensive e non beneficia delle protezioni più moderne introdotte in Windows 11.
Cosa succede ai sistemi che usano ancora modem Agere Soft?
I driver vulnerabili vengono rimossi automaticamente dagli aggiornamenti. L’hardware che dipende da questi driver può smettere di funzionare, ma la rimozione è necessaria per eliminare una grave elevazione di privilegi a livello kernel.
