← Torna al blog
Security Briefing3 min di lettura2026-04-18

Briefing sicurezza, 18 aprile 2026: sfruttamento di ActiveMQ, zero-day Windows e ricadute LSASS

Il briefing di sicurezza di oggi raccoglie tre segnali concreti: CISA ha segnalato lo sfruttamento di Apache ActiveMQ, Huntress vede zero-day Windows di escalation dei privilegi trapelati in intrusioni reali, e Microsoft ha confermato loop di crash LSASS su alcuni domain controller patchati.


Top line: Questa mattina riguarda la sequenza difensiva. Una falla è già sfruttata attivamente, due percorsi di privilege escalation su Windows non hanno ancora una correzione completa, e una patch ufficiale può destabilizzare i domain controller in alcuni ambienti PAM. I team di sicurezza devono separare patch subito, contenimento subito e stop temporaneo del rollout.


1. ActiveMQ è passato dalla coda patch allo sfruttamento attivo

CISA ha aggiunto CVE-2026-34197 al catalogo KEV dopo la conferma dello sfruttamento attivo. Il bug riguarda Apache ActiveMQ Classic, deriva da una convalida input insufficiente e consente esecuzione remota di codice autenticata. Apache ha corretto nelle versioni 6.2.3 e 5.19.4, ma i broker esposti restano un bersaglio facile. Shadowserver monitora ancora più di 7.500 sistemi esposti a internet.


2. Gli zero-day Windows trapelati fanno ormai parte di intrusioni reali

Huntress ha osservato tecniche BlueHammer, RedSun e UnDefend in uso nel mondo reale. BlueHammer è stato corretto ad aprile, ma RedSun e UnDefend non hanno ancora fix completi del vendor. L’attività osservata include un utente SSL VPN compromesso seguito da comportamento interattivo dell’attaccante. Non sono più semplici PoC su GitHub.


3. Il patching server di aprile porta anche una trappola di disponibilità

Microsoft ha confermato che KB5082063 può causare crash LSASS e loop di riavvio su alcuni domain controller non Global Catalog in ambienti Privileged Access Management. Così un rollout di sicurezza ordinario diventa un rischio di outage dell’identità. Un’autenticazione instabile può cancellare rapidamente il beneficio operativo di un patching veloce.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Chiudere prima la triage d’emergenza su ActiveMQ, soprattutto per broker esposti e deployment Classic più vecchi.
  2. Cercare artefatti BlueHammer, RedSun e UnDefend ovunque accesso VPN recente o escalation amministrativa appaiano sospetti.
  3. Verificare se i domain controller PAM sono in scope prima di ampliare il rollout di KB5082063.
  4. Inviare alla leadership un aggiornamento chiaro che separi pressione da sfruttamento e rischio di instabilità della patch.

Bottom line: Una difesa matura oggi significa muoversi a tre velocità insieme: patchare il broker esposto, cacciare il foothold Windows e rallentare ogni rollout che può mettere offline l’identità.

Separare patching d’emergenza da patching pericoloso

KENSAI aiuta i team di sicurezza a verificare sistemi esposti, percorsi di exploit attivi e rischio operativo del rollout prima che l’urgenza diventi downtime evitabile.

Avvia scansione gratuita →

Resta affilato.

🗡️ KENSAI Security Team