Il briefing di sicurezza di oggi raccoglie tre segnali concreti: CISA ha segnalato lo sfruttamento di Apache ActiveMQ, Huntress vede zero-day Windows di escalation dei privilegi trapelati in intrusioni reali, e Microsoft ha confermato loop di crash LSASS su alcuni domain controller patchati.
Top line: Questa mattina riguarda la sequenza difensiva. Una falla è già sfruttata attivamente, due percorsi di privilege escalation su Windows non hanno ancora una correzione completa, e una patch ufficiale può destabilizzare i domain controller in alcuni ambienti PAM. I team di sicurezza devono separare patch subito, contenimento subito e stop temporaneo del rollout.
CISA ha aggiunto CVE-2026-34197 al catalogo KEV dopo la conferma dello sfruttamento attivo. Il bug riguarda Apache ActiveMQ Classic, deriva da una convalida input insufficiente e consente esecuzione remota di codice autenticata. Apache ha corretto nelle versioni 6.2.3 e 5.19.4, ma i broker esposti restano un bersaglio facile. Shadowserver monitora ancora più di 7.500 sistemi esposti a internet.
Huntress ha osservato tecniche BlueHammer, RedSun e UnDefend in uso nel mondo reale. BlueHammer è stato corretto ad aprile, ma RedSun e UnDefend non hanno ancora fix completi del vendor. L’attività osservata include un utente SSL VPN compromesso seguito da comportamento interattivo dell’attaccante. Non sono più semplici PoC su GitHub.
Microsoft ha confermato che KB5082063 può causare crash LSASS e loop di riavvio su alcuni domain controller non Global Catalog in ambienti Privileged Access Management. Così un rollout di sicurezza ordinario diventa un rischio di outage dell’identità. Un’autenticazione instabile può cancellare rapidamente il beneficio operativo di un patching veloce.
Bottom line: Una difesa matura oggi significa muoversi a tre velocità insieme: patchare il broker esposto, cacciare il foothold Windows e rallentare ogni rollout che può mettere offline l’identità.
KENSAI aiuta i team di sicurezza a verificare sistemi esposti, percorsi di exploit attivi e rischio operativo del rollout prima che l’urgenza diventi downtime evitabile.
Avvia scansione gratuita →Resta affilato.
🗡️ KENSAI Security Team