Un'AI ha trovato una falla critica in Windows prima degli hacker: Microsoft la corregge nel Patch Tuesday

Microsoft ha rilasciato oggi il consueto pacchetto di aggiornamenti di sicurezza mensili, il cosiddetto Patch Tuesday, intervenendo su almeno 77 vulnerabilità che interessano Windows e altri prodotti software dell'azienda. A differenza del mese scorso, che aveva visto la presenza di cinque zero-day attivamente sfruttati, il ciclo di marzo 2026 non registra falle già utilizzate da attori malevoli, ma è opportuno evidenziare la presenza di alcune patch che meritano una particolare attenzione da parte dei team IT aziendali.

SQL Server e .NET: due falle già pubblicamente note

Tra le vulnerabilità corrette questo mese figurano due bug già di dominio pubblico prima del rilascio delle patch. Il primo, identificato come CVE-2026-21262, riguarda SQL Server 2016 e versioni successive e consente a un utente autenticato di elevare i propri privilegi fino al livello amministratore di sistema in tutta la rete. La falla è stata valutata con un punteggio CVSS v3 di 8.8, appena sotto la soglia "critica", ma questo non dovrebbe trarre in inganno: rimandare l'applicazione della patch sarebbe una scelta rischiosa.

Il secondo bug noto, CVE-2026-26127, colpisce le applicazioni basate su .NET. Il suo impatto immediato si traduce principalmente in una condizione di denial of service tramite crash dell'applicazione, con la possibilità di attacchi più sofisticati durante il riavvio del servizio.

Office nel mirino: due RCE attivabili dal solo Pannello di Anteprima

Come di consueto, il Patch Tuesday di marzo include almeno un problema critico legato a Microsoft Office. In questo caso si tratta di due vulnerabilità di remote code execution (CVE-2026-26113 e CVE-2026-26110) che possono essere innescate semplicemente visualizzando un messaggio manipolato nel Pannello di Anteprima di Outlook, senza necessità di aprire alcun allegato.

Privilege Escalation: sei bug "più probabilmente sfruttabili" su Windows

Più della metà delle CVE di questo mese riguarda bug di privilege escalation, di cui sei sono stati classificati da Microsoft come "exploitation more likely", ovvero con probabilità concreta di sfruttamento attivo nel breve termine. I componenti interessati includono Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server e Winlogon. Tra i più rilevanti:

CVE-2026-24291 interessa la Windows Accessibility Infrastructure e permette di raggiungere i privilegi SYSTEM tramite assegnazioni di permessi errate (CVSS 7.8). CVE-2026-24294 sfrutta un problema di autenticazione nel componente SMB (CVSS 7.8), mentre CVE-2026-25187  (scoperta da Google Project Zero) riguarda una debolezza nel processo Winlogon (CVSS 7.8).

La prima CVE scoperta da un agente AI autonomo

Ma il dettaglio più significativo di questo Patch Tuesday è probabilmente CVE-2026-21536, una vulnerabilità critica con punteggio CVSS 9.8 nel componente Microsoft Devices Pricing Program. Non si tratta però di un bug che richiede azioni da parte degli utenti poiché Microsoft ha già risolto il problema sul proprio lato, bensì di un precedente storico: è la prima vulnerabilità ufficialmente attribuita a un agente AI autonomo con una CVE riconosciuta per il sistema operativo Windows.

A scoprirla è stato XBOW, un agente di penetration testing completamente autonomo sviluppato da Immersive, che da oltre un anno figura stabilmente ai vertici della classifica del programma bug bounty di HackerOne. Come sottolineato da Ben McCarthy, lead cyber security engineer di Immersive, il caso dimostra che i sistemi di AI sono oggi in grado di identificare vulnerabilità critiche complesse senza accesso al codice sorgente, aprendo una nuova fase nella ricerca sulla sicurezza informatica.