Domenica 05 Luglio 2026 23:32:45 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilities & Patch Management

Pericolo Patchwork: come una correzione Windows mal riuscita ha spalancato le porte ad attacchi furtivi

Pubblicato: 27 Aprile 2026 17:04Categoria: Vulnerabilities & Patch ManagementArea: EuropeAutore: KERNELWATCHER

Sottotitolo: Un aggiornamento di sicurezza Windows incompleto ha permesso ad hacker russi di lanciare attacchi zero-click contro obiettivi europei di alto profilo.

In una fredda mattina di dicembre, i team di cybersicurezza in tutta l’Ucraina e l’Unione Europea si sono affannati per contenere una tempesta digitale. Un famigerato gruppo di hacker russi, APT28-noto nei circuiti dell’intelligence globale come Fancy Bear-aveva scoperto una falla enorme nelle difese di Microsoft. Il colpo di scena? La vulnerabilità non derivava da una patch mancata, ma da una patch che avrebbe dovuto risolvere il problema. Invece, ha lasciato milioni di sistemi esposti ad attacchi invisibili, zero-click, che non richiedevano alcuna azione da parte delle vittime.

Fatti rapidi

  • Microsoft ha corretto una vulnerabilità di Windows (CVE-2026-21510) a febbraio 2026, ma la correzione era incompleta.
  • Da quella patch incompleta è emersa una nuova falla (CVE-2026-32202), che ha reso possibile il furto di credenziali zero-click tramite file di collegamento malevoli (.lnk).
  • Gli hacker russi di APT28 hanno sfruttato queste falle in attacchi contro Ucraina e Paesi UE, concatenando vulnerabilità per ottenere l’esecuzione di codice da remoto.
  • L’exploit ha abusato del parsing dello shell namespace di Windows, innescando l’autenticazione verso server controllati dagli attaccanti senza interazione dell’utente.
  • Microsoft ha rilasciato una correzione secondaria ad aprile 2026 dopo la divulgazione da parte dei ricercatori di Akamai.

Tutto è iniziato con CVE-2026-21510, una vulnerabilità di Windows SmartScreen e della Shell corretta a febbraio dopo essere stata sfruttata in attacchi attivi. La falla consentiva agli aggressori di far passare file di collegamento (.lnk) o HTML malevoli oltre i prompt di sicurezza-sempre che si riuscisse a convincere un utente ad aprirli. Ma APT28, come sempre ingegnoso, ha trovato un modo per automatizzare la trappola.

Secondo Akamai, la patch incompleta ha lasciato dietro di sé una nuova vulnerabilità, CVE-2026-32202. Questa falla permetteva agli hacker di inviare file di collegamento truccati che, quando semplicemente visualizzati in Esplora file di Windows, costringevano silenziosamente il computer della vittima a contattare e autenticarsi su un server controllato dagli attaccanti. Nessun clic. Nessun avviso. L’unico segno: una stretta di mano criptica in background, che faceva trapelare preziosi hash Net-NTLMv2-chiavi digitali che potevano essere decifrate offline o usate in attacchi di relay per impersonare la vittima all’interno delle reti aziendali.

Non si trattava di un rischio teorico. Nel dicembre 2025, APT28 avrebbe usato questi file LNK “armati” in una campagna contro organizzazioni ucraine e dell’UE. Concatenando CVE-2026-21510 e CVE-2026-21513, hanno aggirato più funzionalità di sicurezza di Windows e ottenuto l’esecuzione di codice da remoto-di fatto dirottando i sistemi presi di mira con un’efficienza inquietante. Il gioco di prestigio tecnico sfruttava il modo in cui Windows recupera le icone dei collegamenti, inducendolo a connettersi a server malevoli e a consegnare dati di autenticazione senza nemmeno un pop-up.

La patch di febbraio di Microsoft ha chiuso la porta all’esecuzione di codice da remoto irrigidendo i controlli sulle firme digitali, ma ha trascurato la fuga di autenticazione. Solo dopo la divulgazione di Akamai è arrivata una seconda correzione ad aprile, che ha finalmente sigillato la breccia. L’episodio è un monito severo: nella cybersicurezza, una porta chiusa a metà è pericolosa quanto una porta aperta, soprattutto quando ci si confronta con avversari persistenti come Fancy Bear.

Mentre le organizzazioni si affrettano ad applicare le ultime correzioni, la vicenda mette in evidenza l’importanza cruciale della gestione delle patch e l’inesauribile ingegnosità degli attaccanti sponsorizzati dagli Stati. Nel mondo della difesa informatica, non esistono seconde possibilità per soluzioni incomplete.

TECHCROOK

Per ridurre l’impatto di campagne zero-click e furti di credenziali via file LNK/SMB, una soluzione concreta è YubiKey 5 NFC, chiave hardware per autenticazione forte che limita l’abuso di password e hash (come Net-NTLMv2) nelle reti aziendali. Supporta standard FIDO2/WebAuthn e U2F per accessi “phishing-resistant”, oltre a OTP e smart card (PIV) per integrazione con ambienti Windows e servizi cloud. Funziona senza batteria, si usa via USB-A e NFC e abilita MFA anche su postazioni condivise, riducendo la superficie d’attacco quando una vulnerabilità di sistema facilita l’esfiltrazione di credenziali. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

YubiKey 5 NFC è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola estremamente preziosa e pericolosa per gli attaccanti.
  • File LNK: Un file LNK è un collegamento di Windows che rimanda a un file o a un programma. Gli attaccanti possono sfruttare i file LNK per eseguire comandi nascosti o malware.
  • Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema di una vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
  • Net: Net è un termine che indica le reti di computer. In cybersicurezza, significa proteggere queste reti da accessi non autorizzati, attacchi e violazioni dei dati.
  • APT28 (Fancy Bear): APT28 (Fancy Bear) è un gruppo di hacker russo collegato al GRU, noto per lo spionaggio informatico e per attacchi distruttivi contro governi e organizzazioni in tutto il mondo.