Microsoft ha rilasciato 77 patch questo mese e, sulla carta, sembra un Patch Tuesday tranquillo. Nessuno zero-day attivo, nessuna emergenza da gestire alle tre di notte.
Ma “tranquillo” non significa “ignorabile”, e almeno tre aggiornamenti di marzo meritano che tu li installi oggi, non tra una settimana.
Il bug di SQL Server che fa tremare i DBA
Partiamo dalla cosa che mi ha fatto alzare un sopracciglio. CVE-2026-21262 riguarda SQL Server 2016 e versioni successive, ed è tecnicamente una vulnerabilità di privilege escalation. Fin qui sembra roba da gestire con calma.
Il problema è cosa intende Microsoft per “escalation dei privilegi” in questo caso: un attaccante con accesso di basso livello può elevarsi a sysadmin via rete. Adam Barnett di Rapid7 lo dice senza giri di parole: “Ci vuole coraggio per rimandare questa patch.” CVSS 8.8, pubblicamente divulgata prima dell’aggiornamento.
Se gestisci un’istanza di SQL Server in azienda, smettila di leggere questo articolo e vai ad aggiornare.
Office e il Preview Pane: il solito incubo
Non è un Patch Tuesday degno di questo nome senza almeno un bug critico in Microsoft Office, e marzo 2026 rispetta la tradizione. CVE-2026-26113 e CVE-2026-26110 sono entrambe vulnerabilità di remote code execution che si attivano solo aprendo il pannello di anteprima su un messaggio appositamente costruito.
Non devi aprire un allegato. Non devi cliccare nulla.
Ti basta guardare l’anteprima del messaggio nel client. Questo tipo di vettore d’attacco mi preoccupa sempre parecchio perché non richiede nessun errore da parte dell’utente, e gli utenti italiani che usano Outlook in azienda sono milioni.
Per capire quanto questo schema sia sfruttato attivamente, ti rimando a quello che ho già scritto su come WhatsApp su Windows venga usato come vettore di malware: la logica è identica, cambia solo il software.
55% di privilege escalation: il pattern che non va sottovalutato
Satnam Narang di Tenable ha fatto un’analisi del Patch Tuesday di questo mese che trovo illuminante: oltre la metà delle CVE, precisamente il 55%, sono bug di escalation dei privilegi. Di queste, sei sono state classificate come “exploitation more likely”, cioè Microsoft si aspetta che vengano sfruttate attivamente a breve.
Le componenti coinvolte sono Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server e Winlogon. Su quest’ultima, CVE-2026-25187 è stata scoperta da Google Project Zero, con CVSS 7.8.
Quando Project Zero segnala qualcosa su Winlogon, il processo che gestisce l’autenticazione di Windows, la priorità sale automaticamente. L’approccio di fondo che uso io è questo: tenere il sistema aggiornato è la difesa più efficace prima ancora di pensare a strumenti aggiuntivi, lo stesso principio vale per iOS come ho spiegato nell’articolo su cosa succede quando Apple ti avvisa che il tuo iPhone gira su un sistema obsoleto.
SMB è il protocollo che le reti Windows aziendali usano per condividere file e stampanti. CVE-2026-24294 (CVSS 7.8) riguarda un’autenticazione difettosa proprio in quel componente, classificata come “exploitation more likely”. Se sei in una rete aziendale con condivisioni SMB attive, questa patch non è opzionale.
La novità storica: la prima CVE scoperta da un’AI autonoma
Qui arrivo alla cosa che secondo me passerà quasi inosservata ma che invece è un cambio di paradigma. Ben McCarthy di Immersive ha segnalato CVE-2026-21536, un bug critico di remote code execution nel Microsoft Devices Pricing Program.
Microsoft lo ha già risolto lato server, quindi non richiede azione da parte degli utenti Windows.
La notizia vera è un’altra: questa vulnerabilità è stata scoperta da XBOW, un agente di penetration testing completamente autonomo basato su AI, e ha ricevuto una CVE ufficiale attribuita a Windows. È la prima volta che succede.
Non è fantascienza: XBOW si piazza stabilmente tra i migliori nei benchmark di pen testing automatizzato. Questo apre uno scenario che trovo affascinante e un po’ inquietante allo stesso tempo, perché se un agente AI trova le falle prima degli attaccanti, prima o poi uno scenario speculare, un agente AI che le sfrutta attivamente, diventa realistico.
Per chi è curioso di come l’AI stia cambiando gli strumenti di sicurezza, vale la pena seguire anche l’evoluzione di strumenti come Claude Desktop con Cowork, che mostra quanto velocemente gli agenti AI stiano acquisendo capacità operative concrete.
Cosa faccio io, concretamente
Il mio consiglio pratico: su un PC personale con Windows Update configurato correttamente, le patch di questo mese arrivano in automatico e puoi dormire tranquillo. Il problema vero è l’ambiente aziendale, dove i cicli di test e deployment allungano i tempi.
In quel contesto, io darei priorità assoluta alla patch per SQL Server (CVE-2026-21262), alle due CVE di Office legate al Preview Pane e alle sei vulnerability di privilege escalation classificate come “exploitation more likely”. Se la tua azienda usa ancora pratiche di comunicazione interna poco sicure, può valere la pena ragionare anche su canali cifrati: ho scritto una guida pratica su come inviare email criptate nel 2026 che resta utile come punto di partenza.
La mia opinione netta: questo Patch Tuesday sembra tranquillo solo in superficie. La combinazione di bug Office con vettore Preview Pane, privilege escalation sul kernel e la prima CVE firmata da un’AI autonoma disegna un quadro che richiede attenzione.
Chi aspetta la prossima finestra di manutenzione mensile per installare queste patch sta prendendo un rischio concreto, non ipotetico.
Stay tech 🦾
