Il 9 giugno Microsoft ha rilasciato il più grande aggiornamento di sicurezza della sua storia: 208 vulnerabilità corrette in un colpo solo, un record da quando il “Patch Tuesday” esiste (2003). Il numero fa notizia, ma per una piccola impresa conta soprattutto una di quelle falle — perché appartiene a una categoria che può trasformare un singolo computer dimenticato in un problema per tutta la rete.
La falla che si propaga da sola
Si chiama CVE-2026-45657 ed è una vulnerabilità nel Kernel di Windows, il cuore del sistema operativo, legata a come gestisce il traffico di rete. Ha il punteggio di gravità quasi massimo (CVSS 9.8) e, soprattutto, è classificata come “wormable”: in alcune configurazioni di rete può propagarsi da sola da una macchina all’altra, senza bisogno di password e senza che nessuno clicchi nulla.
Colpisce Windows 11 (dalle versioni 23H2 alla 26H1) e Windows Server 2022 e 2025. Nello stesso pacchetto ci sono altre due falle critiche da 9.8: una in HTTP.sys (CVE-2026-47291, esecuzione di codice da remoto) e una nel servizio DHCP Client (CVE-2026-44815).
Il Patch Tuesday più grande nella storia di Microsoft. La più grave, CVE-2026-45657 (CVSS 9.8), è 'wormable': può diffondersi tra i PC senza interazione dell'utente.
Fonte: Help Net Security, Security Affairs, Zero Day Initiative — giugno 2026
Perché “wormable” è la parola che conta per una PMI
Buona parte degli attacchi a una piccola azienda parte da un clic sbagliato o da una password rubata. Una falla wormable cambia lo scenario: non serve un errore umano. Basta che in rete ci sia un computer o un server Windows esposto e non aggiornato, e il codice malevolo può diffondersi da solo a tutte le altre macchine collegate.
È esattamente l’anticamera di un attacco ransomware: una volta dentro e propagato, il passo successivo è cifrare i file e chiedere un riscatto. Per chi non ha un reparto IT interno, è lo scenario peggiore — e anche il più facile da prevenire, perché la correzione esiste già.
Come ha sintetizzato Dustin Childs della Zero Day Initiative di Trend Micro, ricercatori e attaccanti stanno già studiando la patch per costruire un exploit: testarla e distribuirla in fretta è la mossa giusta.
A differenza di una minaccia sconosciuta, qui la difesa esiste: la correzione è stata pubblicata. Il rischio non è la falla in sé, ma il PC che resta indietro con gli aggiornamenti.
Cosa fare, in concreto
Non serve essere esperti di sicurezza. Le mosse minime sono tre.
- Forza Windows Update su tutto. Tutti i PC e i server Windows aziendali vanno aggiornati nei prossimi giorni, non “quando capita”. Se in azienda gli aggiornamenti sono impostati come rimandati, questa è la settimana per sbloccarli.
- Controlla cosa è esposto a internet. Server, firewall, accessi da remoto (VPN, desktop remoto): sono le porte d’ingresso preferite. Verifica che non ci sia nulla di raggiungibile dall’esterno senza necessità.
- Non fermarti a Windows. Lo stesso principio vale per gli altri software che usi (gestionali, strumenti di trasferimento file, plugin del sito): le patch vanno applicate ovunque, non solo sul sistema operativo.
In breve
Microsoft ha corretto 208 vulnerabilità il 9 giugno, il rilascio più grande di sempre. La più pericolosa per una PMI è CVE-2026-45657, una falla wormable del Kernel di Windows (CVSS 9.8) che si diffonde senza clic né password. La buona notizia è che la patch esiste: l’unica cosa che separa un’azienda dal rischio è un computer lasciato indietro con gli aggiornamenti. Aggiornare ora è la priorità della settimana.