Microsoft ha implementato correzioni per le vulnerabilità della sicurezza in Home windows e Workplace, che secondo la società vengono attivamente sfruttate dagli hacker per entrare nei laptop delle persone.
Gli exploit sono attacchi con un solo clic, il che significa che un hacker può installare malware o ottenere l’accesso al laptop di una vittima con un’interazione minima da parte dell’utente. Almeno due difetti possono essere sfruttati inducendo qualcuno a fare clic su un collegamento dannoso sul proprio laptop Home windows. Un altro può comportare la compromissione dell’apertura di un file Workplace dannoso.
Le vulnerabilità sono observe come zero-day, perché gli hacker hanno sfruttato i bug prima che Microsoft avesse il tempo di risolverli.
Sono stati pubblicati i dettagli su come sfruttare i bug, ha affermato Microsoft, aumentando potenzialmente la possibilità di attacchi hacker. Microsoft non ha detto dove sono stati pubblicati e un portavoce di Microsoft non ha commentato immediatamente quando è stato raggiunto da TechCrunch. Nelle sue segnalazioni di bug, Microsoft ha riconosciuto il contributo dei ricercatori di sicurezza del Risk Intelligence Group di Google nella scoperta delle vulnerabilità.
Microsoft ha detto che uno dei bug, ufficialmente tracciato come CVE-2026-21510è stato trovato nella shell di Home windows, che alimenta l’interfaccia utente del sistema operativo. Il bug colpisce tutte le versioni supportate di Home windows, ha affermato la società. Quando una vittima fa clic su un collegamento dannoso dal proprio laptop, il bug consente agli hacker di aggirare la funzionalità SmartScreen di Microsoft che in genere filtra collegamenti e file dannosi alla ricerca di malware.
Secondo esperto di sicurezza Dustin Childsè possibile sfruttare questo bug per installare malware in remoto sul laptop della vittima.
“Qui c’è l’interazione dell’utente, poiché il cliente deve fare clic su un collegamento o su un file di collegamento”, ha scritto Childs in un submit sul weblog. “Tuttavia, un bug con un solo clic per ottenere l’esecuzione del codice è una rarità.”
Un portavoce di Google ha confermato che il bug della shell di Home windows period oggetto di “sfruttamento diffuso e attivo” e ha affermato che gli hack riusciti hanno consentito l’esecuzione silenziosa di malware con privilegi elevati, “ponendo un alto rischio di successiva compromissione del sistema, distribuzione di ransomware o raccolta di informazioni”.
Un altro bug di Home windows, segnalato come CVE-2026-21513è stato trovato nel motore del browser proprietario di Microsoft, MSHTML, che alimenta il suo browser Web Explorer legacy e da tempo fuori produzione. È ancora presente nelle versioni più recenti di Home windows per garantire la compatibilità con le app precedenti.
Microsoft ha affermato che questo bug consente agli hacker di aggirare le funzionalità di sicurezza di Home windows per installare malware.
Secondo il giornalista indipendente sulla sicurezza Brian Krebs, anche Microsoft ha applicato le patch altri tre bug zero-day nel suo software program che venivano attivamente sfruttati dagli hacker.
