Patch Tuesday giugno 2026:
200 falle, tre zero-day e un bug di stampa

In breve: il Patch Tuesday del 9 giugno 2026 è il più grande di sempre: circa 200 vulnerabilità corrette, 33 critiche, e tre zero-day già pubblici chiusi — GreenPlasma, YellowKey (bypass di BitLocker) e HTTP/2 Bomb. In parallelo, chi ha smesso di stampare da Windows Server 2022 ha un colpevole preciso: l'hotpatch KB5087424 di maggio, che rompe la stampa dalle applicazioni a 32 bit. Ecco cosa installare, cosa verificare e cosa resta scoperto.

Un Patch Tuesday da record

Mai così tante correzioni in un singolo martedì: circa 200 vulnerabilità (i conteggi delle testate specializzate oscillano tra 198 e 208 a seconda di cosa includono), di cui 33 classificate critiche — 28 di tipo Remote Code Execution, cioè sfruttabili per eseguire codice da remoto. Guardando le categorie: 65 elevazioni di privilegi, 55 esecuzioni di codice remoto, 30 divulgazioni di informazioni, 27 spoofing, 19 bypass di funzionalità di sicurezza e 7 denial of service.

A questi numeri vanno aggiunte oltre 360 correzioni per i browser basati su Chromium (Microsoft Edge incluso) rilasciate nella stessa settimana. Per chi amministra un parco macchine il messaggio è semplice: questo non è un mese in cui rimandare gli aggiornamenti. Tra le correzioni critiche spiccano una Remote Code Execution in Active Directory Domain Services (CVE-2026-45648), una in Microsoft Office (CVE-2026-45463) e due bypass di Secure Boot (CVE-2026-45588 e CVE-2026-45654). Il rollup chiude anche CVE-2026-42897, la vulnerabilità di Exchange Server già sfruttata attivamente di cui abbiamo scritto a maggio.

I tre zero-day chiusi: GreenPlasma, YellowKey e HTTP/2 Bomb

Tre vulnerabilità erano già pubbliche prima della patch — con dettagli tecnici o proof of concept in circolazione. Al momento del rilascio nessuna risultava sfruttata attivamente, ma da oggi ogni giorno senza aggiornamento è un giorno di esposizione:

• GreenPlasma (CVE-2026-45586) — elevazione di privilegi nel Collaborative Translation Framework di Windows (il componente CTFMON): un utente locale può ottenere una shell con privilegi SYSTEM sfruttando una risoluzione impropria dei collegamenti. Fa parte della serie di zero-day divulgati dal ricercatore noto come Nightmare Eclipse.
• Bypass di BitLocker (CVE-2026-50507, più YellowKey CVE-2026-45585) — giugno chiude due falle distinte che aggirano la cifratura BitLocker con accesso fisico: la CVE-2026-50507, divulgata pubblicamente prima della patch, e la CVE-2026-45585 — che Microsoft conferma nell'advisory essere la vulnerabilità dietro l'exploit YellowKey: file preparati su una chiavetta USB o sulla partizione EFI, avvio dell'ambiente di ripristino WinRE e, tenendo premuto CTRL, una shell con accesso ai dischi cifrati. Colpiscono le configurazioni con protezione solo-TPM su Windows 11 e Windows Server 2022/2025.
• HTTP/2 Bomb (CVE-2026-49160) — denial of service su HTTP.sys, il driver che serve le richieste web in IIS e in molti servizi Windows: richieste HTTP/2 costruite ad arte forzano il server ad allocare quantità sproporzionate di memoria. Oltre alla patch, Microsoft introduce la nuova chiave di registro MaxHeadersCount per limitare il numero di header accettati nelle richieste HTTP/2 e HTTP/3.

La lezione dei bypass BitLocker merita un'azione anche dopo la patch: sui portatili con dati sensibili, la configurazione consigliata resta TPM + PIN all'avvio. La sola protezione TPM rilascia la chiave di cifratura senza chiedere nulla a chi accende la macchina — ed è esattamente la proprietà che gli attacchi fisici come questo sfruttano.

La serie Nightmare Eclipse: cosa è chiuso e cosa resta aperto

GreenPlasma e YellowKey appartengono alla serie di zero-day divulgati negli ultimi mesi dal ricercatore Nightmare Eclipse, senza coordinamento con Microsoft. Il bilancio aggiornato a oggi: RedSun (CVE-2026-41091, l'unica della serie risultata sfruttata attivamente in attacchi reali) e UnDefend (CVE-2026-45498), entrambi su Microsoft Defender, erano già stati corretti con aggiornamenti straordinari a fine maggio e sono conteggiati nel rollup di giugno; BlueHammer è stato chiuso dopo che ne era iniziato lo sfruttamento attivo; con questo Patch Tuesday escono di scena anche GreenPlasma, YellowKey e MiniPlasma.

La serie però non si ferma: a poche ore dal rilascio delle patch, lo stesso ricercatore ha pubblicato un nuovo zero-day, RoguePlanet, una race condition in Microsoft Defender che apre una shell con privilegi SYSTEM su sistemi completamente aggiornati — patch di giugno comprese — con proof of concept già confermato funzionante da ricercatori indipendenti e nessuna correzione disponibile. È il promemoria che il patching, da solo, non basta: quando una falla è pubblica ma la patch non esiste, le difese concrete sono il rilevamento comportamentale — un EDR/XDR che segnala l'escalation di privilegi anche senza conoscere la vulnerabilità — e il principio del privilegio minimo, che limita ciò che un account compromesso può fare.

Il bug di stampa di KB5087424 su Windows Server 2022

Mentre Microsoft chiudeva 200 falle, molti amministratori erano alle prese con un problema più prosaico: la stampa che smette di funzionare. Il colpevole è l'hotpatch KB5087424 del 12 maggio 2026 per Windows Server 2022 Datacenter Azure Edition (build 20348.5074): dopo l'installazione, il componente splwow64.exe non si avvia più e restituisce l'errore 0xc0000142 («l'applicazione non è stata avviata correttamente»).

splwow64 è il ponte tra le applicazioni a 32 bit e il sistema di stampa a 64 bit: se non parte, non stampano i gestionali a 32 bit — ancora diffusissimi nelle aziende italiane — e nemmeno alcune applicazioni a 64 bit che lo richiamano, ad esempio Excel istanziato via COM da procedure automatiche, o gli ambienti con la funzione «Isola i driver di stampa dalle applicazioni» attiva. Il caso documentato pubblicamente da HCL riguarda proprio un server Domino che pilota Excel; le segnalazioni della community di amministratori coprono desktop remoti e server di sessione. Lo scenario tipico è il desktop remoto in cloud su Azure con hotpatching attivo: l'utente lavora nel gestionale, preme stampa e non succede nulla.

Il punto delicato: a un mese dal rilascio, Microsoft non ha ancora riconosciuto il problema tra i known issues ufficiali. Le strade praticabili documentate finora:

• 1Installare il cumulativo di giugno. Il 9 giugno, per il canale hotpatch di Windows Server 2022, è uscito un aggiornamento baseline: un cumulativo completo con riavvio che sostituisce integralmente l'hotpatch difettoso di maggio. È la prima finestra naturale di rientro: installarlo e verificare subito la stampa dalle applicazioni a 32 bit.
• 2Disattivare l'isolamento dei driver di stampa («Isolate print drivers from applications»), se compatibile con le proprie policy: evita che le applicazioni passino da splwow64 dove non strettamente necessario.
• 3In ultima istanza, disinstallare KB5087424 e bloccarne la reinstallazione, con riavvio: ripristina la stampa, ma rimuove anche le correzioni di sicurezza di maggio — da considerare solo come tampone temporaneo fino al cumulativo di giugno.

C'è anche una lezione architetturale: l'hotpatching — gli aggiornamenti di sicurezza senza riavvio, uno dei vantaggi dell'Azure Edition — resta un ottimo strumento, ma va accompagnato da test funzionali dopo ogni ciclo di patch: una verifica di stampa, accesso al gestionale e flussi critici subito dopo l'installazione avrebbe intercettato il problema al primo giorno, non alla prima fattura da stampare.

Cosa fare questa settimana: checklist in cinque punti

• 1Distribuire gli aggiornamenti di giugno su client e server, dando priorità ai sistemi esposti su internet (HTTP/2 Bomb si sfrutta da remoto senza autenticazione) e ai domain controller (per la RCE in Active Directory Domain Services).
• 2Rivedere la configurazione BitLocker dei portatili: dove c'è protezione solo-TPM e i dati lo giustificano, abilitare TPM + PIN all'avvio.
• 3Verificare la stampa dopo il patching sui server Windows Server 2022 con hotpatching: un test dalle applicazioni a 32 bit dice subito se il problema di KB5087424 è rientrato con il cumulativo di giugno.
• 4Compensare RoguePlanet finché non esiste la patch: rilevamento comportamentale attivo su tutti gli endpoint e revisione degli account con privilegi amministrativi locali.
• 5Controllare lo stato Secure Boot del parco macchine: i certificati Microsoft del 2011 scadono il 24 giugno (KEK CA) e il 27 giugno (UEFI CA). I dispositivi continuano ad avviarsi, ma senza i nuovi certificati smettono di ricevere gli aggiornamenti dei componenti di avvio sicuro.

Come AtWorkStudio aiuta

Per i clienti con infrastrutture gestite, il ciclo di patch di giugno segue il nostro processo standard: distribuzione per anelli, test funzionali post-aggiornamento (stampa inclusa) e monitoraggio. Per chi gestisce in autonomia e vuole una verifica indipendente, un vulnerability assessment fotografa l'esposizione reale del parco macchine, e i servizi di cybersecurity coprono ciò che il patching da solo non risolve.

Operiamo da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN (Agenzia per la Cybersicurezza Nazionale) per servizi cloud, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.