Microsoft ha rattoppato male un bug a febbraio 2026, e quel rattoppo incompleto ha lasciato aperta una seconda vulnerabilità , CVE-2026-32202 , che gli hacker russi di APT28 stanno già sfruttando attivamente. Ora la CISA, l’agenzia di cybersicurezza del governo americano, ha ordinato a tutti gli enti federali di aggiornare Windows entro il 12 maggio.
Cosa è andato storto con la patch di febbraio
La storia inizia con CVE-2026-21510, un bug di esecuzione di codice remoto che Microsoft aveva “corretto” a febbraio 2026. Il problema è che la correzione era incompleta, e ha lasciato in piedi una falla gemella: CVE-2026-32202, scoperta dalla società di sicurezza Akamai.
Questa seconda vulnerabilità è un zero-click NTLM hash leak, il che significa che basta inviare un file malevolo alla vittima , e se quella lo apre, l’attaccante ruba l’hash della sua password Windows. Con quell’hash può impersonarla e muoversi liberamente nella rete aziendale.
È esattamente il tipo di attacco che viene chiamato pass-the-hash, e funziona senza bisogno di conoscere la password in chiaro.
⚠️ Attenzione: CVE-2026-32202 è classificata come “zero-day sfruttato attivamente” , vuol dire che le patch esistono già da oggi, ma ci sono sistemi non aggiornati che vengono bucati in questo momento.
APT28, l’Ucraina e la scadenza del 12 maggio
Il gruppo APT28 , noto anche come Fancy Bear, collegato all’intelligence militare russa , aveva già usato il bug originale CVE-2026-21510 in attacchi contro Ucraina e paesi europei a dicembre 2025, come documentato dal CERT-UA. L’exploit combinava quel bug con un’altra falla su file .LNK (CVE-2026-21513) per massimizzare i danni.
Ora secondo il report pubblicato su BleepingComputer, la CISA ha aggiunto CVE-2026-32202 al suo catalogo ufficiale KEV (Known Exploited Vulnerabilities) e ha imposto alle agenzie federali americane di applicare la patch entro due settimane, il 12 maggio 2026. Un termine stretto, ma motivato: questo tipo di vulnerabilità NTLM è da anni uno strumento preferito dagli attori di minaccia più pericolosi.
📌 Da sapere: Oltre a CVE-2026-32202, sono sotto attacco attivo altre tre vulnerabilità Windows ribattezzate BlueHammer, RedSun e UnDefend, tutte usate per scalare i privilegi fino a SYSTEM. Ne ho già parlato analizzando la vulnerabilità Windows Defender già sotto exploit.
Perché anche chi non lavora nel governo deve aggiornare subito
💡 L’analisi: La CISA ordina agli enti federali, ma APT28 non sceglie le vittime in base alla nazionalità: aziende europee con Windows non aggiornato sono esposte allo stesso identico rischio, e il fatto che il rattoppo di febbraio fosse incompleto suggerisce che Microsoft abbia fretta di chiudere questa storia prima che si allarghi ulteriormente.
Il meccanismo NTLM esiste in Windows da decenni ed è difficile da disabilitare completamente in ambienti aziendali. Questo lo rende un bersaglio ricorrente: se ricordi il Patch Tuesday di marzo 2026 con i 5 bug Windows più pericolosi, anche lì NTLM era tra i protagonisti.
La mia posizione è netta: aspettare l’aggiornamento automatico in uno scenario come questo è una scommessa che non vale la pena fare. Se gestisci un parco macchine Windows in un’azienda italiana, installa la patch di aprile 2026 oggi, non domani.
APT28 non manda avvisi prima di entrare.
Stay tech 🦾
