Patch Tuesday maggio 2026: nessuna zero-day, ma 137 falle Microsoft restano un pericolo per le PMI

Maggio 2026 segna un evento raro nel panorama della sicurezza Microsoft: per la prima volta in quasi due anni — da giugno 2024, per l'esattezza — il Patch Tuesday mensile non include nessuna vulnerabilità zero-day attivamente sfruttata in ambiente reale. Un dato che, letto superficialmente, potrebbe indurre amministratori IT e titolari di PMI a tirare un sospiro di sollievo. Sarebbe un errore. Le 137 vulnerabilità corrette questo mese — di cui 13 classificate come critiche e tre con un punteggio CVSS di 9.9 su 10 — raccontano una realtà diversa: l'assenza di exploit attivi non equivale all'assenza di rischio. Anzi, il volume e la gravità delle falle corrette rendono questo aggiornamento uno dei più impegnativi del 2026.

Dietro i numeri c'è una dinamica che tocca direttamente il tessuto produttivo italiano. Le PMI della Penisola utilizzano massicciamente l'ecosistema Microsoft: Windows sui desktop, Office per la produttività, Azure per i servizi cloud, SharePoint per la collaborazione, Dynamics 365 per la gestione aziendale. Ogni vulnerabilità in questi prodotti è, potenzialmente, una porta aperta verso dati sensibili, interruzioni operative e danni reputazionali. E come dimostrano le statistiche di attacchi ransomware degli ultimi anni — che colpiscono le PMI italiane con frequenza crescente — la finestra tra la pubblicazione di una patch e il suo sfruttamento si restringe di mese in mese.

I numeri del Patch Tuesday maggio 2026

Secondo il report ufficiale del Microsoft Security Response Center, l'aggiornamento cumulativo di maggio 2026 corregge 137 vulnerabilità distribuite su Windows, Office, Azure, strumenti di sviluppo, Dynamics 365, Copilot e componenti di rete, come riportato da CyberScoop e SecurityWeek. La cifra scende a 120 escludendo le patch già rilasciate separatamente per Mariner, Azure, Copilot, Microsoft Teams, Partner Center e i 131 fix per Edge/Chromium gestiti da Google, come precisa BleepingComputer.

La distribuzione per tipologia mostra una prevalenza netta dei privilegi:

• 61 vulnerabilità di elevazione dei privilegi (EoP) — il 48,3% del totale
• 31 vulnerabilità di esecuzione codice remoto (RCE) — il 24,6%
• 14 vulnerabilità di divulgazione di informazioni
• 13 vulnerabilità di spoofing
• 8 vulnerabilità di denial of service (DoS)
• 6 bypass delle funzionalità di sicurezza

Delle 137 vulnerabilità, 13 sono state classificate come critiche e 113 come importanti. Microsoft ha inoltre identificato 13 falle con un indice di sfruttabilità «exploitation more likely», segnalando che i threat actor potrebbero iniziare a sfruttarle in tempi brevi. Questo indice, introdotto da Microsoft per guidare le priorità di patching, è forse il dato più rilevante per chi deve decidere su quali sistemi intervenire per primo.

Gli aggiornamenti cumulativi distribuiti tramite Windows Update includono KB5089549 e KB5087420 per Windows 11 e KB5087544 per Windows 10, con fix che interessano anche Windows Server in tutte le versioni supportate.

Le vulnerabilità più pericolose per il tessuto produttivo italiano

Non tutte le 137 falle hanno lo stesso impatto potenziale su una PMI italiana. L'analisi dei vettori d'attacco e dei punteggi CVSS permette di isolare alcune vulnerabilità che meritano attenzione immediata, sia per la gravità intrinseca sia per la diffusione dei prodotti coinvolti nel panorama aziendale nazionale.

DNS e Netlogon: porte aperte sulla rete aziendale

La vulnerabilità CVE-2026-41096 (CVSS 9.8, critica) interessa il client DNS di Windows e non richiede né autenticazione né interazione dell'utente. Come ha spiegato Dustin Childs, responsabile della threat awareness presso Trend Micro Zero Day Initiative, si tratta di un bug «dall'aspetto preoccupante»: un server DNS sotto il controllo di un attaccante può inviare una risposta DNS malevola a un sistema Windows vulnerabile, causando un danneggiamento della memoria ed eseguendo codice da remoto. «Nessuna autenticazione o interazione utente necessaria, e poiché il client DNS è presente su praticamente ogni macchina Windows, la superficie d'attacco è enorme», ha sottolineato Childs, citato da CyberScoop.

Per una PMI con un dominio Windows Server e decine di postazioni, il rischio è concreto: un attaccante in grado di influenzare le risposte DNS — ad esempio attraverso un attacco man-in-the-middle su una rete non adeguatamente protetta — potrebbe ottenere esecuzione codice su tutta l'infrastruttura. Il collegamento con la sicurezza della configurazione DNS è diretto e merita un audit immediato.

Ancora più critica è CVE-2026-41089, che colpisce Windows Netlogon con un punteggio CVSS di 9.8. Un attaccante remoto non autenticato può inviare richieste di rete appositamente costruite a un server Windows che funge da domain controller. Childs l'ha definita «il bug a più alto impatto che richiede patching immediato», aggiungendo che «un domain controller compromesso è un dominio compromesso». In un'azienda dove il domain controller gestisce autenticazione, policy di sicurezza e accesso alle risorse, le conseguenze di uno sfruttamento riuscito sono potenzialmente catastrofiche.

Microsoft Office e Word: il pericolo nascosto nel riquadro di anteprima

Sei vulnerabilità di esecuzione codice remoto interessano Microsoft Word, di cui quattro — CVE-2026-40361, CVE-2026-40364, CVE-2026-40366 e CVE-2026-40367 — classificate come critiche con CVSS 8.4. Due di queste (CVE-2026-40361 e CVE-2026-40364) sono state valutate da Microsoft come «exploitation more likely».

Il dettaglio che dovrebbe allarmare ogni responsabile IT è il vettore d'attacco: il riquadro di anteprima (Preview Pane). Come ha spiegato Satnam Narang di Tenable, citato da SecurityWeek: «Il filo conduttore di queste vulnerabilità è che la vittima non deve nemmeno aprire il documento per innescare l'exploit. Lo sfruttamento è possibile semplicemente visualizzando un documento malevolo nel riquadro di anteprima». In pratica, un file ricevuto via email e selezionato nella lista dei messaggi potrebbe eseguire codice dannoso senza che l'utente compia alcuna azione consapevole oltre alla selezione del messaggio stesso.

Considerando che il phishing rimane il vettore d'attacco principale contro le PMI, queste vulnerabilità sono candidati ideali per campagne massive di distribuzione di malware via email.

Azure e Dynamics 365: il cloud non è immunità

Tre vulnerabilità toccano il punteggio massimo di CVSS 9.9: CVE-2026-42898 su Dynamics 365 on-premises, CVE-2026-33109 e CVE-2026-42823 su Azure. Quest'ultima, in particolare, riguarda Azure Logic Apps e non richiede interazione dell'utente, consentendo a un attaccante con privilegi minimi di elevare i propri diritti nel tenant cloud.

Jack Bicer, director of vulnerability research presso Action1, ha messo in guardia su CVE-2026-42898: «Con nessuna interazione utente richiesta e la capacità di impattare sistemi oltre l'ambito di sicurezza originale del componente vulnerabile, questa vulnerabilità rappresenta un serio rischio aziendale: un attaccante con solo un accesso di base potrebbe trasformare un server applicativo in una piattaforma di esecuzione remota». Per le realtà italiane che utilizzano Dynamics 365 per CRM e gestione clienti — o Azure per l'infrastruttura cloud — il rischio di compromissione si estende a «record dei clienti, flussi di lavoro operativi, informazioni finanziarie e sistemi aziendali integrati».

Anche CVE-2026-41103, che interessa il plugin Microsoft SSO per Jira & Confluence con un CVSS di 9.1, merita attenzione: un attaccante può forgiare un'identità e accedere ai sistemi Jira e Confluence senza autenticazione Microsoft Entra ID, con potenziale accesso a dati progettuali, documentazione interna e ticket di assistenza — informazioni spesso sensibili per le aziende di sviluppo software e consulenza IT, settori dove le PMI italiane sono fortemente rappresentate.

Nessuna zero-day: la trappola psicologica per le PMI

L'assenza di vulnerabilità zero-day attivamente sfruttate — la prima volta in 23 mesi, come rilevato da Tenable — crea un paradosso pericoloso. In una PMI con risorse IT limitate, la notizia «nessuna emergenza» può tradursi in «possiamo rimandare gli aggiornamenti». È una reazione comprensibile ma rischiosa, per almeno tre ragioni.

Primo: il volume è il messaggio. Con 137 vulnerabilità corrette in un solo mese — e questo è il terzo mese del 2026 con oltre 100 CVE — la finestra di opportunità per un attaccante si restringe ma non scompare. Le patch sono pubbliche, i dettagli tecnici sono disponibili nei bollettini Microsoft e nel giro di giorni, a volte ore, i ricercatori di sicurezza e i threat actor iniziano il reverse engineering per sviluppare proof-of-concept funzionanti.

Secondo: i sistemi non aggiornati accumulano debito tecnico di sicurezza. Una PMI che salta il Patch Tuesday di maggio non ha solo le 137 vulnerabilità di maggio, ma anche quelle di aprile (oltre 130 CVE), marzo e dei mesi precedenti. Il modello di difesa perimetrale statico non basta più: servono processi di aggiornamento continuo.

Terzo: l'AI sta accelerando la scoperta di vulnerabilità. Dustin Childs di Trend Micro ha osservato che l'elevato volume di bug corretti riflette «una tendenza in crescita che i ricercatori stavano anticipando, con l'impiego di modelli di intelligenza artificiale per trovare difetti precedentemente non scoperti nel codice». Anche se non tutti i bug di maggio sono stati trovati dall'AI, «è probabile che avessero una componente legata all'AI». In questo scenario, l'AI generativa sta cambiando le regole della cybersecurity, riducendo il tempo tra la scoperta di una vulnerabilità e la disponibilità di un exploit.

Quando intervenire subito e quando no: criteri decisionali per le PMI

Non tutte le PMI hanno le stesse priorità né lo stesso profilo di rischio. Una microimpresa con cinque postazioni ha esigenze diverse da un'azienda manifatturiera con 80 dipendenti, server on-premise e un'istanza Azure. Ecco un framework decisionale pratico, basato sul rischio reale e non sul panico.

Scenario 1: urgenza massima — patch entro 48 ore

• L'azienda gestisce un domain controller Windows Server → CVE-2026-41089 (Netlogon) richiede intervento immediato
• Utilizzo di Office 365 / Word in ambiente multiutente con condivisione file via email → CVE-2026-40361, CVE-2026-40364 (Preview Pane RCE su Word)
• Presenza di server DNS Windows esposti o accessibili da reti non fidate → CVE-2026-41096 (DNS Client RCE)
• Utilizzo di Dynamics 365 on-premises o Azure Logic Apps in produzione → CVE-2026-42898, CVE-2026-42823 (CVSS 9.9)
• Plugin SSO Microsoft per Jira/Confluence in uso → CVE-2026-41103 (CVSS 9.1)

Scenario 2: priorità alta — patch entro 7 giorni

• Postazioni Windows 10/11 con accesso a SharePoint Server → le 6 vulnerabilità RCE in SharePoint (tra cui CVE-2026-40365 critica)
• Utilizzo di SQL Server in ambienti con accesso di rete → CVE-2026-40370 (SQL Server RCE)
• Infrastruttura Hyper-V per virtualizzazione → CVE-2026-40402 (elevazione di privilegi critica)
• Driver Wi-Fi su portatili aziendali utilizzati fuori sede → CVE-2026-32161 (RCE critica sul driver Wi-Fi nativo)

Scenario 3: priorità standard — patch entro 14 giorni

• Vulnerabilità di elevazione di privilegi locali (richiedono accesso preliminare al sistema)
• Bug in componenti non esposti a rete o non utilizzati nell'organizzazione
• Vulnerabilità di divulgazione informazioni senza impatto operativo diretto

Alternative alla gestione in-house

Per le PMI senza un reparto IT dedicato, esistono opzioni praticabili:

• Windows Update for Business: consente di gestire gli anelli di distribuzione degli aggiornamenti, testando le patch su un gruppo pilota prima del rollout generale. Gratuito con licenze Windows Pro/Enterprise
• Microsoft Intune: incluso negli abbonamenti Microsoft 365 Business Premium, centralizza la gestione degli aggiornamenti su tutti i dispositivi, anche in modalità remota
• Servizi di patching gestito: provider di servizi IT (MSP) che si occupano del monitoraggio, test e distribuzione delle patch. Il costo è variabile ma per una PMI da 20-50 postazioni può aggirarsi tra 500 e 1500 euro al mese, un investimento paragonabile al costo di un singolo incidente di sicurezza
• WSUS (Windows Server Update Services): gratuito, richiede un Windows Server in-house ma offre controllo granulare sugli aggiornamenti approvati

Il trade-off è chiaro: le soluzioni gratuite richiedono competenze interne e tempo del personale; i servizi gestiti costano ma riducono il rischio operativo. Per una PMI con meno di 30 dipendenti e senza IT manager, un servizio gestito è spesso l'opzione più efficiente in rapporto costo/rischio. Per realtà più strutturate, Windows Update for Business offre un buon equilibrio tra controllo e automazione.

Check-list operativa per il Patch Tuesday di maggio 2026

Ecco una sequenza di azioni concrete, ordinata per priorità, che ogni PMI italiana dovrebbe eseguire entro la settimana lavorativa.

1. Verificare i domain controller. Applicare immediatamente le patch per CVE-2026-41089 (Netlogon) su tutti i server che fungono da domain controller. Un rollback in caso di problemi è preferibile a un controller compromesso.
2. Aggiornare Microsoft Office su tutte le postazioni. Le vulnerabilità del riquadro di anteprima in Word (CVE-2026-40361, CVE-2026-40364, CVE-2026-40366, CVE-2026-40367) non richiedono l'apertura del file: il solo fatto di selezionare un'email con un allegato malevolo può innescare l'exploit.
3. Patch per il client DNS. CVE-2026-41096 interessa ogni macchina Windows. Applicare gli aggiornamenti cumulativi di maggio su tutte le postazioni.
4. Verificare le integrazioni cloud. Se l'azienda utilizza Dynamics 365 on-premises, Azure Logic Apps o il plugin SSO per Jira/Confluence, verificare che le relative patch siano state applicate o che i servizi cloud siano stati aggiornati lato Microsoft.
5. Controllare i server SharePoint. Le vulnerabilità CVE-2026-40365 e correlate possono consentire esecuzione codice da remoto. Se l'azienda ospita SharePoint on-premises, l'aggiornamento è prioritario.
6. Non dimenticare Hyper-V. CVE-2026-40402 (elevazione di privilegi) è critica per ambienti virtualizzati: un guest compromesso potrebbe evadere verso l'host, con impatto su tutte le VM.
7. Testare le patch su un gruppo pilota. Prima del rollout completo, distribuire gli aggiornamenti su 2-3 postazioni rappresentative (un desktop amministrativo, un portatile, un server non critico) e verificare il funzionamento delle applicazioni aziendali per 24-48 ore.

Perché le PMI italiane sono un bersaglio privilegiato

Il panorama italiano presenta caratteristiche che rendono le piccole e medie imprese particolarmente esposte a vulnerabilità come quelle corrette a maggio 2026. Secondo i dati ISTAT, oltre il 95% delle imprese italiane ha meno di 10 addetti e il 60% non dispone di un responsabile IT dedicato. A questo si aggiungono tre fattori di rischio specifici:

• Infrastruttura ibrida non governata. Molte PMI italiane operano in modalità ibrida: server on-premise per la gestione documentale e Active Directory, affiancati da servizi cloud Microsoft 365 e Azure. Questa configurazione, se non gestita con policy uniformi, crea punti di attrito dove le patch vengono applicate in modo disomogeneo.
• Ritardo medio negli aggiornamenti. Un'indagine Clusit 2025 sulla maturità digitale delle PMI ha evidenziato che il 42% delle aziende con meno di 50 dipendenti applica gli aggiornamenti di sicurezza con un ritardo superiore a 30 giorni, spesso per timore di incompatibilità con software gestionale legacy.
• Assenza di monitoring continuo. La transizione dal modello di protezione perimetrale a un approccio basato sul monitoraggio continuo è ancora incompleta, lasciando le aziende senza visibilità su tentativi di sfruttamento delle vulnerabilità note.

In questo contesto, il Patch Tuesday non è un evento tecnico per addetti ai lavori ma un appuntamento che ha implicazioni dirette sulla continuità operativa. Le vulnerabilità di maggio 2026, in particolare quelle con vettore di attacco via email (Word Preview Pane) e via rete (DNS, Netlogon), colpiscono proprio i punti deboli strutturali delle PMI italiane.

Tabella riepilogativa: le vulnerabilità critiche di maggio 2026

La tabella seguente raccoglie le vulnerabilità critiche e ad alto rischio emerse dal Patch Tuesday di maggio 2026, ordinate per punteggio CVSS decrescente. I dati provengono dai bollettini ufficiali Microsoft e dall'analisi di BleepingComputer, CyberScoop, SecurityWeek e Tenable.

CVE ID	Prodotto	Tipo	CVSS	Priorità PMI
CVE-2026-42898	Dynamics 365 (on-premises)	RCE	9.9	Critica
CVE-2026-33109	Azure	EoP	9.9	Critica
CVE-2026-42823	Azure Logic Apps	EoP	9.9	Critica
CVE-2026-41096	Windows DNS Client	RCE	9.8	Critica
CVE-2026-41089	Windows Netlogon	RCE	9.8	Critica
CVE-2026-41103	SSO Plugin Jira & Confluence	EoP	9.1	Alta
CVE-2026-40361	Microsoft Word	RCE	8.4	Alta
CVE-2026-40364	Microsoft Word	RCE	8.4	Alta
CVE-2026-40366	Microsoft Word	RCE	8.4	Alta
CVE-2026-40367	Microsoft Word	RCE	8.4	Alta
CVE-2026-32161	Windows Native Wi-Fi Driver	RCE	8.1	Alta
CVE-2026-40402	Windows Hyper-V	EoP	7.8	Media-Alta
CVE-2026-40365	SharePoint Server	RCE	7.5	Media-Alta

Fonte: elaborazione su dati Microsoft Security Response Center, BleepingComputer, Tenable, SecurityWeek, CyberScoop (maggio 2026).

Limiti e criticità: cosa questo Patch Tuesday NON risolve

Per offrire un quadro decisionale completo, è essenziale indicare anche ciò che gli aggiornamenti di maggio 2026 non coprono. L'obiettivo è evitare che l'applicazione delle patch generi un falso senso di sicurezza.

• Le vulnerabilità in prodotti di terze parti non sono coperte. Il Patch Tuesday Microsoft non include fix per SAP, Adobe (che ha rilasciato separatamente 52 patch per 10 prodotti), Oracle o altri vendor. Le PMI che utilizzano SAP S/4HANA, ad esempio, devono verificare le patch pubblicate da SAP lo stesso giorno, che includono vulnerabilità critiche con possibilità di iniezione di codice.
• Le configurazioni errate restano un rischio. Una patch non corregge un ambiente Azure mal configurato, permessi eccessivi su SharePoint o policy di gruppo deboli. La sicurezza cloud richiede attenzione continua alla configurazione, non solo agli aggiornamenti.
• L'ingegneria sociale bypassa le patch. Le vulnerabilità di Word corrette a maggio richiedono l'invio di un file malevolo. Le patch bloccano lo sfruttamento tecnico, ma non impediscono a un dipendente di fornire credenziali a un attaccante via phishing. La formazione rimane indispensabile.
• I sistemi fuori supporto non ricevono patch. Windows 7, Windows 8.1, Windows Server 2012/R2 senza ESU (Extended Security Updates), Office 2013 e versioni precedenti non beneficiano di questi aggiornamenti. Qualsiasi PMI con sistemi legacy deve valutarne urgentemente la sostituzione o l'isolamento di rete.

L'impatto dell'AI sul futuro della sicurezza Microsoft

Il volume di vulnerabilità corrette a maggio 2026 (137, terzo mese consecutivo sopra quota 100) non è un'anomalia statistica ma il segnale di un cambiamento strutturale. Come rilevato da più fonti, l'intelligenza artificiale sta accelerando la scoperta di bug. Anthropic ha rilasciato Mythos, un modello specializzato nella ricerca di vulnerabilità, e OpenAI ha lanciato Daybreak con obiettivi analoghi. Microsoft stessa utilizza MDASH, uno scanner AI interno, che ha già individuato quattro vulnerabilità RCE critiche in Windows.

Per le PMI italiane, la lezione è duplice. Da un lato, l'AI generativa applicata alla difesa — come approfondito nell'articolo su AI e vulnerabilità zero-day — offre strumenti di protezione prima inaccessibili per budget limitati. Dall'altro, l'accelerazione nella scoperta di vulnerabilità renderà i Patch Tuesday sempre più corposi, richiedendo processi di aggiornamento più rapidi e automatizzati. La corsa agli armamenti tra AI offensiva e difensiva, come analizzato nel confronto OpenAI vs Anthropic, è appena iniziata e avrà ripercussioni dirette sulla sicurezza delle infrastrutture aziendali.

Non è un caso che il governo giapponese abbia ordinato una revisione della strategia di cybersicurezza nazionale proprio in risposta all'arrivo di Mythos. Il primo ministro Sanae Takaichi ha citato esplicitamente il modello di Anthropic come fattore di svolta che rende necessaria una revisione cabinet-level delle difese informatiche del Paese.

Conclusioni: aggiornare oggi per non rincorrere domani

Il Patch Tuesday di maggio 2026 consegna alle PMI italiane un messaggio chiaro, anche se controintuitivo: l'assenza di zero-day non è una buona notizia sufficiente per rimandare gli aggiornamenti. Con 137 vulnerabilità corrette, 13 critiche, tre CVE a 9.9 CVSS e vettori d'attacco che non richiedono interazione dell'utente — dalla manipolazione DNS alle risposte Netlogon, dal riquadro di anteprima di Word alle integrazioni Azure — il rischio è concreto, misurabile e, soprattutto, prevenibile.

La differenza tra un'azienda che applica le patch entro 48 ore e una che attende 30 giorni non è tecnica: è assicurativa. In un ecosistema dove l'AI riduce il tempo tra disclosure e exploit, la rapidità di risposta è il più potente fattore di mitigazione a disposizione di una PMI con risorse limitate.

Per le realtà che non dispongono di competenze interne, la scelta tra un servizio di patching gestito e l'affidamento a Windows Update automatico va soppesata sul costo di un potenziale incidente — che per una PMI italiana, secondo i dati Clusit, può superare i 50.000 euro tra fermo operativo, ripristino e danno reputazionale. Un investimento in prevenzione che, alla luce dei numeri di maggio 2026, appare sempre più indispensabile.