Microsoft aggiorna le vulnerabilità zero-day di Defender attivamente sfruttate

Microsoft ha iniziato a distribuire aggiornamenti di sicurezza urgenti per due vulnerabilità di Microsoft Defender che vengono già attivamente sfruttate in attacchi zero-day. Le falle, identificate come CVE-2026-41091 e CVE-2026-45498, hanno un impatto su Microsoft Malware Protection Engine e Defender Antimalware Platform, consentendo potenzialmente agli aggressori di ottenere privilegi a livello di sistema o di innescare condizioni di denial-of-service su dispositivi Windows senza patch.

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto entrambe le vulnerabilità al suo catalogo Known Exploited Vulnerabilities (KEV) e ha ordinato alle agenzie federali di proteggere i sistemi interessati entro due settimane a causa della minaccia attiva rappresentata dallo sfruttamento in natura.

Microsoft afferma che gli ultimi aggiornamenti dovrebbero essere installati automaticamente per la maggior parte degli utenti, ma le organizzazioni sono comunque invitate a verificare che gli aggiornamenti di Defender e le definizioni di malware siano applicate correttamente su tutti gli endpoint e i server. L'avvertimento fa seguito a una guida separata sul giorno zero di YellowKey BitLocker recentemente divulgato, rafforzando le preoccupazioni sul fatto che gli attori delle minacce continuino a prendere di mira le tecnologie di sicurezza fondamentali di Windows.

La violazione di GitHub è legata all'estensione malevola di VS Code

GitHub ha confermato che la violazione che ha colpito circa 3.800 repository interni è stata causata da una versione dannosa dell'estensione Nx Console di Visual Studio Code, distribuita durante l'attacco alla supply-chain TanStack npm della scorsa settimana. L'incidente evidenzia la crescente portata e sofisticazione delle minacce alla supply-chain del software rivolte agli sviluppatori e agli ambienti CI/CD.

L'estensione compromessa avrebbe rubato credenziali e segreti legati a piattaforme come GitHub, AWS, Kubernetes, Docker e npm. GitHub afferma che l'attacco è iniziato dopo che un dipendente ha installato l'estensione avvelenata, consentendo agli attori delle minacce di ottenere un accesso non autorizzato ai repository interni. Da allora l'azienda ha provveduto a ruotare i segreti critici e a mettere in sicurezza i sistemi interessati, continuando nel contempo le indagini.

La campagna è stata collegata al gruppo di criminalità informatica TeamPCP, che in passato è stato associato ad attacchi contro ecosistemi di sviluppatori come PyPI, npm, Docker e GitHub. I ricercatori di sicurezza avvertono che l'incidente dimostra come gli strumenti e le estensioni di fiducia degli sviluppatori stiano diventando sempre più vettori di attacco di alto valore. Le organizzazioni sono invitate a rafforzare la governance delle estensioni, a rivedere l'esposizione delle credenziali CI/CD e a rafforzare il monitoraggio degli ambienti degli sviluppatori e delle dipendenze da software di terze parti.

Gli incidenti informatici guidati dall'intelligenza artificiale aumentano nelle aziende canadesi

Una nuova ricerca ha rivelato che nell'ultimo anno un'azienda canadese su tre ha subito un incidente informatico che si ritiene abbia coinvolto l'intelligenza artificiale, evidenziando il ruolo crescente dell'IA nelle moderne minacce informatiche. Gli attacchi di phishing sono stati tra i metodi più comunemente segnalati, a testimonianza del fatto che gli attori delle minacce utilizzano sempre più l'intelligenza artificiale per migliorare la portata e la sofisticazione delle campagne di social engineering.

L'indagine ha rilevato che l'adozione dell'IA tra le organizzazioni canadesi di fascia media è salita all'83%, con un ulteriore 14% che sta esplorando attivamente la tecnologia. Allo stesso tempo, il 57% delle aziende ha dichiarato di aver subito almeno un incidente informatico negli ultimi 12 mesi, mentre anche gli attacchi legati ai fornitori e l'esposizione di terzi hanno continuato ad aumentare.

I ricercatori hanno avvertito che il rischio informatico legato all'intelligenza artificiale non è più limitato ai sistemi interni, con le debolezze della catena di fornitura che rappresentano ora una delle principali preoccupazioni per le organizzazioni e gli assicuratori. I risultati mostrano anche un aumento degli investimenti nella cybersecurity, nella pianificazione della risposta agli incidenti e nella cyber-assicurazione, mentre le aziende cercano di rafforzare la resilienza contro le minacce sempre più avanzate legate all'IA.

I cyberattacchi globali aumentano con l'intensificarsi dei rischi di ransomware e GenAI

Secondo una nuova ricerca di Check Point Software Technologies, gli attacchi informatici hanno continuato ad aumentare a livello globale per tutto il mese di aprile 2026, con una media di 2.201 attacchi a settimana per le organizzazioni. Il rapporto evidenzia l'aumento dell'attività di ransomware, l'incremento dei bersagli nei settori critici e le crescenti preoccupazioni per l'esposizione di dati sensibili legati all'utilizzo di GenAI negli ambienti aziendali.

L'America Latina è rimasta la regione più bersagliata a livello globale, mentre l'Africa ha continuato a subire una pressione sostenuta nonostante il calo del volume degli attacchi rispetto all'anno precedente. Nell'area EMEA, l'Angola e la Nigeria hanno registrato il maggior numero di attacchi per organizzazione, mentre il Sudafrica ha registrato una media di 1.777 attacchi a settimana. L'istruzione rimane il settore più bersagliato a livello mondiale, seguito dalla pubblica amministrazione e dalle telecomunicazioni.

Il rapporto avverte inoltre che l'adozione di GenAI sta creando nuovi rischi di esposizione, con una richiesta di AI aziendale su 28 contenente informazioni altamente sensibili. Nel frattempo, gli incidenti di ransomware sono aumentati di nuovo in aprile, guidati da gruppi come Qilin e DragonForce, rafforzando le preoccupazioni relative all'interruzione delle operazioni, all'esposizione della catena di approvvigionamento e all'evoluzione delle tattiche dei criminali informatici.

I ricercatori di sicurezza avvertono che le organizzazioni devono rafforzare la governance, la visibilità e la gestione proattiva delle minacce, poiché gli aggressori combinano sempre più spesso automazione, ransomware e tecniche abilitate dall'intelligenza artificiale per scalare le loro operazioni.

La violazione di NYC Health + Hospitals colpisce 1,8 milioni di pazienti

La NYC Health + Hospitals ha reso noto che un grave attacco informatico che ha colpito i suoi sistemi ha esposto informazioni sensibili appartenenti ad almeno 1,8 milioni di persone, rendendolo una delle più grandi violazioni di dati sanitari segnalate quest'anno. Gli aggressori avrebbero avuto accesso alla rete dell'organizzazione dal novembre 2025 al febbraio 2026, in seguito alla compromissione di un fornitore terzo.

Secondo l'azienda sanitaria, i dati rubati comprendono cartelle cliniche, dati assicurativi, informazioni di fatturazione, documenti di identificazione rilasciati dal governo e dati biometrici altamente sensibili come le scansioni delle impronte digitali e delle impronte palmari. La violazione avrebbe anche esposto informazioni precise sulla geolocalizzazione collegate ai documenti di identità caricati, sollevando ulteriori problemi di privacy per le persone colpite.

Le organizzazioni sanitarie continuano a rimanere un obiettivo primario per i criminali informatici a causa della grande quantità di informazioni personali e mediche sensibili che conservano. L'incidente evidenzia anche i crescenti rischi associati ai fornitori terzi e agli ecosistemi sanitari interconnessi, dove la compromissione di un singolo fornitore può creare un'ampia esposizione a valle.

Gli esperti di sicurezza avvertono che le violazioni dei dati biometrici sono particolarmente gravi perché, a differenza delle password o dei dati finanziari, le impronte digitali e palmari non possono essere semplicemente sostituite una volta compromesse.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.