Contenuti

01. Notizie in breve
  • Il Patch Tuesday di luglio di Microsoft, da record, risolve 570 vulnerabilità e tre zero-day

  • La polizia spagnola smantella una rete di frodi BEC e di investimento da 140 milioni di euro

  • Il Regno Unito e l’UE impongono le prime sanzioni informatiche congiunte alle reti russe

  • Una vulnerabilità critica di Zoom potrebbe consentire agli hacker di dirottare gli account

  • La CISA avverte di attacchi in corso che prendono di mira i server SharePoint

02. Conclusione

Notizie in breve

Il “Patch Tuesday” di luglio di Microsoft, da record, risolve 570 vulnerabilità e tre zero-day

Il Patch Tuesday di luglio 2026 di Microsoft risolve un numero record di 570 vulnerabilità, tra cui due vulnerabilità zero-day attivamente sfruttate negli attacchi e un problema reso pubblico.

L’aggiornamento risolve 59 vulnerabilità critiche, tra cui 48 vulnerabilità relative all’esecuzione di codice remoto, nove relative all’elevazione dei privilegi, una relativa all’aggiramento delle funzionalità di sicurezza e una relativa allo spoofing. In totale, Microsoft ha corretto 254 vulnerabilità relative all’elevazione dei privilegi, 145 vulnerabilità relative all’esecuzione remota di codice, 102 problemi di divulgazione di informazioni, 35 vulnerabilità di tipo denial-of-service, 17 vulnerabilità di bypass della sicurezza e 16 bug di spoofing.

Le vulnerabilità zero-day attivamente sfruttate interessano Active Directory Federation Services e Microsoft SharePoint Server, consentendo in entrambi i casi agli aggressori di ottenere privilegi elevati. Microsoft ha inoltre risolto un bypass di BitLocker reso pubblico che avrebbe potuto consentire a chi disponeva di accesso fisico di recuperare dati crittografati.

Microsoft ha avvertito che il numero totale di correzioni del Patch Tuesday potrebbe continuare ad aumentare, poiché il suo sistema di individuazione delle vulnerabilità basato sull’intelligenza artificiale identifica i punti deboli nel codice di Windows prima che gli aggressori possano sfruttarli. Le organizzazioni dovrebbero dare priorità al collaudo e alla distribuzione degli aggiornamenti di sicurezza.

La polizia spagnola smantella una rete di frodi BEC e di investimento da 140 milioni di euro

La polizia spagnola ha smantellato una rete di criminalità informatica e riciclaggio di denaro su scala industriale, collegata a frodi sugli investimenti e attacchi di tipo «Business Email Compromise» (BEC) per un valore di 140 milioni di euro.

Quattro sospetti sono stati arrestati in Spagna, Portogallo e Panama a seguito di un’operazione internazionale sostenuta da Europol e Interpol. Secondo gli investigatori, il gruppo controllava oltre 800 conti bancari e 120 conti aziendali, avvalendosi di almeno 67 complici esterni che fungevano da corrieri di denaro.

La rete avrebbe utilizzato truffe del tipo «CEO fraud» e con fatture false per spacciarsi per alti dirigenti, reindirizzare i pagamenti e indurre le aziende a trasferire fondi su conti controllati dai criminali. Il denaro sottratto veniva poi rapidamente trasferito attraverso catene di conti in diversi paesi per nasconderne l’origine.

Le autorità hanno perquisito immobili a Barcellona, Girona, Tarragona e Porto, sequestrando 15 computer e oltre 170 smartphone. La polizia ha inoltre congelato 3 milioni di euro di proventi illeciti, che dovrebbero essere messi a disposizione delle vittime.

Regno Unito e UE impongono le prime sanzioni informatiche congiunte contro le reti russe

Il Regno Unito e l’UE hanno annunciato il loro primo pacchetto congiunto di sanzioni informatiche rivolto ad agenzie statali russe, criminali informatici e reti proxy accusate di condurre attacchi e diffondere disinformazione in tutta Europa.

Le misure prendono di mira 24 persone fisiche e giuridiche, tra cui figure di spicco del servizio di intelligence militare russo GRU e membri di reti di criminali informatici collegate alle operazioni di intelligence russe.

Il Regno Unito e l’UE hanno inoltre attribuito un attacco fallito alla rete energetica polacca al Centro 16 dell’FSB russo. Le autorità hanno avvertito che l’incidente avrebbe potuto interrompere la fornitura di elettricità a circa 500.000 persone durante l’inverno.

Le sanzioni prendono di mira anche individui collegati a Lumma Stealer, un malware utilizzato per sottrarre informazioni sensibili e credenziali di accesso da dispositivi compromessi. Secondo quanto riferito, in sei mesi sono state identificate oltre 2.100 vittime nel Regno Unito.

Ulteriori misure sono state imposte ai responsabili di Rybar LLC, un’organizzazione mediatica russa sostenuta dallo Stato, accusata di diffondere disinformazione anti-ucraina e di interferire nelle elezioni europee.

Una vulnerabilità critica di Zoom potrebbe consentire agli aggressori di assumere il controllo degli account

Zoom ha rilasciato aggiornamenti di sicurezza per una vulnerabilità critica di Windows che potrebbe consentire a un aggressore non autenticato di assumere il controllo degli account degli utenti da remoto.

Identificata con il codice CVE-2026-53412, la vulnerabilità legata a una validazione impropria degli input presenta un punteggio di gravità critico pari a 9,8 su 10. Interessa Zoom Workplace per Windows nelle versioni precedenti alla 7.0.0, diverse versioni del client Zoom VDI e il Meeting SDK per Windows nelle versioni precedenti alla 7.0.0.

Zoom non ha reso noti dettagli tecnici su come la vulnerabilità possa essere sfruttata. Tuttavia, la sua nota di sicurezza avverte che un malintenzionato non autenticato potrebbe appropriarsi di un account tramite l’accesso alla rete.

Gli ultimi aggiornamenti risolvono anche tre vulnerabilità di Windows ad alta gravità che potrebbero consentire agli utenti locali autenticati di elevare i propri privilegi. Queste riguardano Zoom Workplace, Zoom Rooms, il VDI Client e il Plugin, nonché Zoom Contact Center.

Al momento non vi sono prove che alcuna di queste vulnerabilità sia stata sfruttata. Gli utenti e le organizzazioni dovrebbero installare immediatamente gli ultimi aggiornamenti di Zoom.

La CISA avverte di attacchi attivi mirati ai server SharePoint

La CISA ha avvertito che gli aggressori stanno sfruttando attivamente tre vulnerabilità che interessano i sistemi Microsoft SharePoint Server on-premise esposti a Internet.

Le vulnerabilità, identificate con i codici CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164, interessano tutte le versioni supportate di SharePoint in auto-hosting. Secondo quanto riferito, gli aggressori possono concatenare le vulnerabilità per aggirare l’autenticazione, eseguire codice in remoto e stabilire una presenza persistente sui server compromessi.

Tra le attività osservate figurano il furto delle chiavi di sistema di Internet Information Services e la distribuzione di malware. Shadowserver monitora attualmente quasi 10.000 server SharePoint esposti a Internet, di cui oltre 800 non sono ancora stati aggiornati contro due delle vulnerabilità.

La CISA ha esortato le organizzazioni ad applicare gli ultimi aggiornamenti di sicurezza di Microsoft, a verificare che le patch siano state installate correttamente, ad abilitare l’integrazione dell’Antimalware Scan Interface di SharePoint e a monitorare i sistemi per individuare eventuali segni di compromissione.

I team di sicurezza dovrebbero inoltre limitare l’accesso esterno, ruotare le chiavi delle macchine compromesse e collocare i server esposti dietro controlli di sicurezza a livello di applicazione.

Sintesi conclusiva

Se siete preoccupati per una delle minacce descritte nel presente bollettino o avete bisogno di assistenza per stabilire quali misure adottare per proteggervi dalle minacce più rilevanti che la vostra organizzazione deve affrontare, vi invitiamo a contattare il vostro account manager oppurea contattarciper scoprire come proteggere la vostra organizzazione.

Dichiarazione di non responsabilità

Il “Threat Intel Roundup” è stato redatto da Integrity360 per riassumere le notizie relative alle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerato come un parere legale, di consulenza o di qualsiasi altro tipo di consulenza professionale. Eventuali raccomandazioni devono essere valutate nel contesto della propria organizzazione. Integrity360 non assume alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse potrebbero non corrispondere necessariamente al punto di vista di Integrity360.