Sulla piazza di Milano, le azioni Microsoft (ISIN: US5949181045) si stanno muovendo in un territorio che definirei quasi agrodolce. Analizzando i dati dell’ultima seduta, il titolo ha registrato un lievissimo rialzo intraday dello 0,12%, scambiando a quota 344,6 euro, un soffio sotto la precedente chiusura di 345. I volumi parlano di 261 azioni scambiate in 20 contratti, per un controvalore di quasi 90mila euro. Tuttavia, se allarghiamo l’orizzonte, il quadro si fa più complesso: da inizio anno la performance segna un poco incoraggiante -16,81%, con il prezzo che a fine marzo ha toccato il minimo annuale di 309,5, decisamente lontano dai fasti del massimo storico di 491,6 registrato a fine luglio dell’anno scorso. Certo, chi ha tenuto il titolo nel cassetto per cinque anni gode ancora di un solidissimo +78%, ma è innegabile che l’azienda stia attraversando una fase di marcata volatilità mensile, che attualmente viaggia sopra il 37%.
Ma cosa si nasconde dietro i movimenti di mercato di un colosso del genere? Spesso la solidità finanziaria passa anche dalla resilienza dell’infrastruttura tecnologica, e su questo fronte l’azienda ha dovuto fare gli straordinari. Proprio di recente, infatti, Microsoft ha rilasciato un massiccio aggiornamento di sicurezza per tappare ben 138 vulnerabilità sparse su tutto il suo ecosistema software. Parliamo di numeri seri: 30 falle classificate come “Critiche”, 104 “Importanti”, tre moderate e una di basso rischio. La buona notizia per gli investitori e gli utenti è che, al momento della pubblicazione, nessuna di queste risulta essere sfruttata attivamente o nota al pubblico.
Spulciando il bollettino tecnico, salta all’occhio che quasi la metà dei problemi (61) riguarda falle di privilege escalation, seguite da 32 bug di esecuzione di codice in remoto (RCE). Questa pulizia di primavera ha coperto anche vulnerabilità ereditate dall’esterno, come un difetto nell’isolamento della cache per i processori AMD basati su architettura Zen 2 (CVE-2025-54518) che rischiava di alterare i livelli di privilegio, e un pacchetto di ben 127 difetti sistemati da Google su Chromium, il motore su cui gira il browser Edge.
Tra le gatte da pelare più grosse spicca senza dubbio la CVE-2026-41096, un incubo sistemistico a carico del DNS di Windows con un punteggio CVSS quasi massimo, pari a 9.8. Si tratta di un buffer overflow basato su heap che permette a un aggressore di mandare in tilt la memoria inviando una semplice risposta DNS manipolata. In alcune configurazioni, questo trucchetto consente di eseguire codice da remoto sull’infrastruttura colpita, il tutto senza nemmeno il bisogno di autenticarsi.
E la lista prosegue toccando i nervi scoperti dell’infrastruttura cloud e aziendale. Il team di sicurezza è dovuto intervenire pesantemente sull’ecosistema Azure: in Azure DevOps un’esposizione di dati (CVE-2026-42826, CVSS 10.0) metteva a rischio informazioni sensibili in rete senza richiedere alcuna interazione dell’utente, mentre su Azure Logic Apps (CVE-2026-42823) e Managed Instance per Apache Cassandra (CVE-2026-33109 e 33844) ballavano seri problemi di access control e input validation. Anche i servizi on-premises come Dynamics 365 non sono stati risparmiati, afflitti da vulnerabilità di code injection ed esecuzione con privilegi non necessari (CVE-2026-42898 e 42833) che avrebbero permesso di intrufolarsi nelle applicazioni di altri tenant.
Non mancano poi grattacapi sulle reti interne e sugli applicativi di uso quotidiano. C’è un bug bello grosso su Windows Netlogon (CVE-2026-41089) che, inviando una richiesta malevola a un server domain controller, consentiva l’esecuzione di codice senza alcun login preventivo. Difetti simili, tra command injection, spoofing e bypass dei controlli, sono stati sanati su Azure Cloud Shell (CVE-2026-35428), Microsoft Teams (CVE-2026-33823), Entra ID (CVE-2026-40379) e Azure SDK (CVE-2026-33117). A chiudere il cerchio, falle critiche a livello di memoria come l’use-after-free su Windows Hyper-V (CVE-2026-40402), che apriva le porte all’ambiente host con privilegi di sistema, e difetti simili (CVE-2026-40361 e 40364) che trasformavano Microsoft Word in un cavallo di Troia per l’esecuzione di codice in locale senza alcuna interazione. Persino l’accesso federato tramite i plugin SSO per Jira e Confluence (CVE-2026-41103) è stato “bucato” da un’implementazione errata degli algoritmi. In soldoni, se non fossero state sistemate tempestivamente, queste vulnerabilità di elevation of privilege avrebbero permesso a eventuali malintenzionati di fare il bello e il cattivo tempo sui sistemi compromessi, prendendone di fatto il controllo totale.
