Patch Tuesday Giugno 2026: 206 CVE, 3 Zero-Day

TL;DR

• Cosa imparerai: Come prioritizzare le patch di giugno 2026, quali CVE sono già sfruttate in natura e come verificare che il tuo Exchange Server non sia esposto
• Tempo richiesto: 30-60 minuti per la valutazione iniziale, 2-4 ore per il rollout completo
• Difficoltà: Intermedia — servono accesso admin e familiarità con Windows Update for Business

---

IL PROBLEMA

Se stai leggendo questo probabilmente hai già visto l'alert di Microsoft e ti stai chiedendo se il tuo Exchange Server è al sicuro. O peggio, hai già trovato log strani.

Il Patch Tuesday di giugno 2026 ha battuto ogni record: 206 CVE corrette, di cui 33 critiche. Ma il numero non è la notizia — la notizia è che una di queste è una zero-day su Exchange Server già attivamente sfruttata in produzione. Non in laboratorio, non in proof-of-concept. In natura.

Aggiungi il ritorno di Nightmare Eclipse (il ricercatore che a fine 2025 aveva leakato dettagli su vulnerabilità non patchate) e hai la ricetta per un fine settimana di lavoro non pagato.

La domanda non è "se" Microsoft rilascerà altri aggiornamenti urgenti. La domanda è "quanto tempo hai" prima che qualcuno sfrutti la falla sul tuo server.

---

PREREQUISITI

Prima di iniziare, assicurati di avere:

• Accesso admin al server Exchange (o al pannello di gestione cloud se usi Exchange Online)
• PowerShell remoto abilitato e funzionante
• Privilegi per gestire Windows Update (WSUS o Update for Business)
• Backup recente del server (sì, anche per le patch)

Se non hai almeno uno di questi, fermati e chiama chi ce l'ha. Non è il momento di scoprire che i tuoi permessi sono scaduti.

---

STEP-BY-STEP

Step 1: Identifica la CVE critica su Exchange

La vulnerabilità già sfruttata è CVE-2026-XXXXX (il codice esatto varia in base alla security advisory). Controlla subito:

# Verifica la build di Exchange installata
Get-ExchangeServer | Select-Object Name, AdminDisplayVersion, BuildNumber

Confronta la build con l'elenco delle patch. Se sei sotto la build target, sei esposto. Non "forse" — sei esposto.

Step 2: Verifica se la falla è già stata tentata

Controlla i log di Exchange per segni di exploit:

# Log IIS (dove passano le richieste HTTP)
Get-WinEvent -LogName 'W3SVC' -MaxEvents 100 | 
  Where-Object { $_.Message -match 'xml|soap|ews|api' } | 
  Select-Object TimeCreated, Message

# Log Exchange specifici
Get-TransportServer | Get-MessageTrackingLog -EventID 'FAIL' -StartTime (Get-Date).AddDays(-7) | 
  Select-Object Timestamp, Sender, Recipient, EventId, Source

Se vedi richieste strane verso /EWS/Exchange.asmx o /API/ da IP che non riconosci, qualcuno ci ha già provato.

Step 3: Applica le patch critiche PRIMA delle altre

Non fare l'errore di applicare tutto insieme. Prioritizza:

1. Exchange Server (la zero-day attiva)
2. Windows Server core (RCE e privilege escalation)
3. Office/365 (se hai client connessi)
4. Il resto

# Lista delle patch critiche da applicare subito
# KB5012345 - Exchange Server zero-day
# KB5012346 - Windows Server RCE
# KB5012347 - Office RCE

# Per WSUS, sincronizza e approva subito
Get-WsusServer -Name 'wsus.yourdomain.local' -Port 8530 | 
  Get-WsusUpdate -Classification 'Critical Updates' -Approval 'Unapproved' | 
  Where-Object { $_.Update.Title -match 'June 2026' } | 
  Approve-WsusUpdate -Action Install -TargetGroupName 'Production Servers'

Step 4: Se non puoi patchare subito, mitiga

Hai letto bene: se il server deve restare su per il business e non puoi riavviare, applica almeno queste mitigazioni temporanee:

# Disabilita EWS se non usato (controlla prima!)
Set-OrganizationConfig -EwsEnabled $false

# Limita l'accesso a PowerShell remoto
New-PSSessionConfigurationFile -Path 'C:\Config\RestrictedPS.ini' -RunAsVirtualAccount
Register-PSSessionConfiguration -Name 'RestrictedPS' -Path 'C:\Config\RestrictedPS.ini'

# Blocca IP sospetti (se hai log degli attacchi)
New-NetFirewallRule -DisplayName 'Block Suspicious IPs' -Direction Inbound -Action Block -RemoteAddress '1.2.3.4,5.6.7.8'

Attenzione: queste sono misure temporanee. La patch vera va applicata appena possibile.

Step 5: Verifica che la patch sia stata applicata

Dopo il riavvio (sì, Exchange richiede riavvio dopo le patch):

# Verifica la build dopo la patch
Get-ExchangeServer | Select-Object Name, AdminDisplayVersion, BuildNumber

# Controlla che i servizi siano su
Get-Service -Name 'MSExchange*' | Where-Object { $_.Status -eq 'Stopped' }

# Test base di funzionalità
Test-ServiceHealth | Select-Object -ExpandProperty ServicesNotRunning

Step 6: Documenta per il compliance

Se sei soggetto a NIS2 o altro framework, documenta:

• Data e ora dell'applicazione patch
• CVE patchate
• Eventuali mitigation applicate
• Nome dell'amministratore che ha eseguito l'operazione

# Export rapido per audit
$report = @{
  Date = Get-Date -Format 'yyyy-MM-dd HH:mm'
  Server = $env:COMPUTERNAME
  PatchesApplied = (Get-HotFix | Where-Object { $_.InstalledOn -gt (Get-Date).AddDays(-7) }).HotFixID
  CVE = 'CVE-2026-XXXXX'
  Admin = $env:USERNAME
}
$report | ConvertTo-Json | Out-File "C:\Logs\PatchReport_$(Get-Date -Format 'yyyyMMdd').json"

---

VERIFICA

Dopo aver applicato le patch, verifica che tutto funzioni:

1. Test SMTP in ingresso: Invia un'email da un account esterno (GMail, Yahoo) e verifica che arrivi
2. Test SMTP in uscita: Invia verso un dominio esterno e controlla che non venga rifiutato
3. Test Outlook Anywhere: Connetti un client Outlook dall'esterno della rete
4. Test EWS: Se usi app che dipendono da EWS, verificane il funzionamento

# Test rapido dalla tua postazione
Test-NetConnection -ComputerName mail.yourdomain.local -Port 25
Test-NetConnection -ComputerName mail.yourdomain.local -Port 443

# Se hai problemi, controlla i log eventi
Get-WinEvent -LogName 'Application' -MaxEvents 50 | 
  Where-Object { $_.LevelDisplayName -eq 'Error' } | 
  Select-Object TimeCreated, ProviderName, Message

Se tutto funziona, puoi tornare al lavoro di tutti i giorni. Se qualcosa non va, vai al troubleshooting.

---

TROUBLESHOOTING

Il server non si riavvia dopo la patch

• Entra in modalità minimal boot: msconfig → seleziona "Selective startup"
• Controlla i driver di terze parti (spesso colpa di antivirus o backup agent)
• Guarda il log di boot in C:\Windows\Panther\setupact.log

I servizi Exchange non partono

• Verifica che il .NET Framework sia aggiornato: Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full' | Select-Object Release
• Controlla i permessi sui folder di Exchange
• Usa Test-SystemHealth per diagnostica completa

Il client Outlook non si connette

• Cancella la cache di Outlook: %localappdata%\Microsoft\Outlook\RoamCache
• Verifica i certificati SSL (scaduti常见)
• Riavvia il servizio "Outlook Anywhere" se necessario

La patch non appare in Windows Update

• Forza la sincronizzazione: wuauclt /detectnow /updatenow
• Controlla che WSUS non stia bloccando gli aggiornamenti
• Verifica la data di scadenza del certificato di firma Microsoft (sì, è già successo)

---

CONCLUSIONE

Il Patch Tuesday di giugno 2026 è un record che nessuno voleva battere. Ma il numero di CVE non è il problema — il problema è che una di queste è già in natura e il tuo Exchange potrebbe essere esposto.

Se hai seguito i passi sopra, hai:

• Identificato la vulnerabilità critica
• Verificato se sei stato già targetizzato
• Applicato le patch prioritarie
• Documentato il tutto per compliance

Se invece non hai ancora fatto nulla, ti resta una finestra di tempo prima che gli attaccanti automatizzino lo sfruttamento. Non è il caso di aspettare il prossimo Patch Tuesday.

Per chi gestisce ambienti ibridi (Exchange on-premise + cloud), una soluzione che semplifica è passare il filtraggio email a un provider dedicato — così almeno la parte email è coperta anche mentre patchi il server. Su MailSniper trovi protezione inbound e outbound con sandboxing e analisi URL real-time, senza dover gestire tutto on-premise.

Il weekend è vicino. Tieniti pronto.