← Back to Blog
Briefing Sicurezza 5 min read 2026-04-10

Briefing Sicurezza, 10 aprile 2026: Chrome DBSC, zero-day Adobe Reader, LucidRook, VENOM e la falla dell’SDK EngageLab

Il segnale di stamattina è piuttosto netto: gli attaccanti continuano a vincere con furto di sessione, exploit nei documenti, phishing mirato di credenziali e dipendenze della supply chain. Chrome porta finalmente un miglioramento difensivo serio, ma il resto del briefing ricorda che identità e igiene degli endpoint restano decisive.


In sintesi: un utile hardening del browser, uno zero-day PDF attivo, due campagne di intrusione mirate, una vasta esposizione via SDK Android e più pressione di patch sui sistemi di frontiera.


1. Chrome 146 alza l’asticella contro il furto di cookie

Google ha distribuito Device Bound Session Credentials (DBSC) in Chrome 146 per Windows. La funzione lega crittograficamente le sessioni a breve durata a chiavi protette dall’hardware. In pratica un infostealer non può più rubare un cookie su una macchina e riutilizzarlo altrove con la stessa affidabilità.

Questo conta perché il furto di cookie è diventato uno dei modi più rapidi per aggirare password e MFA. Chrome non elimina l’infezione, ma rende più costoso il session hijacking dopo la compromissione.

Perché conta


2. Uno zero-day di Adobe Reader viene sfruttato tramite PDF malevoli

I ricercatori sostengono che uno zero-day sconosciuto di Adobe Reader sia sfruttato almeno da dicembre 2025 tramite file PDF manipolati. I campioni eseguono JavaScript offuscato, raccolgono informazioni locali, contattano un server remoto e potrebbero preparare una successiva esecuzione di codice o evasione della sandbox.

È una brutta notizia, perché il PDF resta uno dei formati più fidati nei workflow aziendali. Se un exploit attivo si nasconde in una fattura, la sola awareness non basta più.

Perché conta


3. LucidRook prende di mira ONG e università a Taiwan

Le informazioni collegate a Cisco Talos descrivono LucidRook come malware modulare basato su Lua usato in campagne di spear-phishing contro ONG e università taiwanesi. Il malware unisce consegna a stadi, DLL sideloading, forte offuscamento e caricamento esterno di bytecode Lua.

L’aspetto interessante non è solo la famiglia malware, ma la disciplina operativa. Sembra una campagna costruita per accesso mirato e raccolta silenziosa, non per cybercrime rumoroso.

Perché conta


4. VENOM trasforma i login Microsoft dei dirigenti in un prodotto

La ricerca di Abnormal sulla piattaforma chiusa di phishing-as-a-service VENOM mostra una forte focalizzazione sui dirigenti. Il kit imita notifiche SharePoint, nasconde i dati del target nei frammenti URL, usa QR per spostare la vittima sul mobile e ruba l’accesso tramite flussi adversary-in-the-middle e device-code.

I difensori dovrebbero smettere di raccontarsela: se gli executive si affidano ancora a MFA standard e conditional access debole, stanno giocando in difesa perdente.

Perché conta


5. La falla EngageLab SDK mostra l’impatto della supply chain mobile

Microsoft ha diffuso i dettagli di una vulnerabilità corretta dell’SDK EngageLab che avrebbe potuto consentire a un’app malevola di superare i confini applicativi e accedere a dati privati di altre app che usavano lo stesso SDK. La portata superava 50 milioni di installazioni, incluse 30 milioni di installazioni di wallet crypto.

Non ci sono prove pubbliche di sfruttamento malevolo, ma la lezione è semplice. Gli SDK mobili di terze parti fanno parte della superficie d’attacco.

Perché conta


6. Patch watch: Palo Alto Networks e SonicWall

SecurityWeek ha inoltre segnalato nuovi fix ad alta severità di Palo Alto Networks e SonicWall. Il rischio preciso cambia da prodotto a prodotto, ma lo schema è sempre lo stesso: i sistemi edge esposti restano uno dei modi più rapidi per ottenere controllo amministrativo.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Rafforzare l’identità: accelerare passkey o FIDO2 per dirigenti e admin.
  2. Isolare i documenti rischiosi: sandbox o detonazione per PDF non affidabili.
  3. Cacciare catene silenziose: monitorare LNK, archivi, DLL sideloading e FTP anomalo.
  4. Rivedere le dipendenze mobili: inventariare gli SDK terzi e aggiornare rapidamente.
  5. Patch veloce sul perimetro: soprattutto firewall, VPN e interfacce di gestione esposte.

Fonti seguite per questo briefing: BleepingComputer, The Hacker News e SecurityWeek, pubblicazioni del 9 e 10 aprile 2026.

Riduci la finestra su cui contano gli attaccanti

KENSAI aiuta i team a individuare percorsi d’attacco esposti, controlli identity deboli e asset internet-facing vulnerabili prima che diventino un incidente.

Avvia scansione gratuita →

Restate vigili.

🗡️ KENSAI Security Team