Sono 167 le vulnerabilità ufficialmente corrette da Microsoft nella tornata di aprile 2026 del Patch Tuesday. Di queste, 93 aprono all’escalation dei privilegi, 20 all’esecuzione di codice da remoto e 13 permettono di bypassare le funzionalità di sicurezza. Come sempre, diamo maggiore risalto alle vulnerabilità critiche e alle così dette zero-day, ossia bug di dominio pubblico o attivamente sfruttate, quando non è disponibile una correzione ufficiale. Queste ultime sono due, di cui una pubblica e l'altra attivamente sfruttata in attacchi reali.

La falla zero-day attivamente sfruttata è monitorata con la sigla CVE-2026-32201 e riguarda la validazione impropria dell'input in Microsoft Office SharePoint. Nonostante il punteggio CVSS di 6.5, si tratta di una vulnerabilità importante perché un attaccante che sfruttasse con successo questa vulnerabilità potrebbe visualizzare informazioni sensibili violandone la riservatezza, e apportare modifiche alle informazioni divulgate, compromettendone l’integrità. Microsoft non ha rivelato i dettagli dello sfruttamento negli attacchi né chi li abbia portati avanti.

Passiamo alla falla zero-day resa pubblica: è monitorata con la sigla CVE-2026-33825
ed è una vulnerabilità di escalation dei privilegi di Microsoft Defender, che concede all’attaccante i privilegi di SISTEMA. La correzione è inclusa nell’aggiornamento di Microsoft Defender Antimalware Platform alla versione 4.18.26050.3011, che verrà scaricato automaticamente sui sistemi. Gli utenti Windows possono installarlo manualmente tramite i Protection Update di Windows Security.

Microsoft ha inoltre corretto diverse falle RCE in Microsoft Office (Word ed Excel) che possono essere eseguite tramite il pannello di anteprima o aprendo documenti dannosi. CVE-2026-32190 può portare all'esecuzione locale del codice, nonostante l'attaccante operi da remoto. CVE-2026-33114 è una vulnerabilità in Microsoft Word che potrebbe permettere all'attaccante di eseguire codice localmente. CVE-2026-33115  che può portare all'esecuzione locale del codice. Denominatore comune di queste tre falle è che l'attaccante agisce da remoto, ma è necessario eseguire codice su un sistema locale per sfruttare la vulnerabilità. Nessuna di queste falle è ritenuta di facile sfruttamento, ma trattandosi di Office è caldeggiato l’update soprattutto a quegli utenti che ricevono frequentemente allegati.