CYBERBRIEFING — Lunedì 18 maggio 2026
Edizione MATTINA
🔴 IN PRIMO PIANO
Pwn2Own Berlino 2026: 47 zero-day scoperti, quasi 1,3 milioni di dollari pagati agli hacker
Si è conclusa la tre giorni di Pwn2Own Berlino 2026, la più importante competizione mondiale di hacking etico, con un bilancio record: 47 vulnerabilità zero-day mai viste prima scoperte e 1.298.250 dollari in premi distribuiti ai ricercatori. Il team DEVCORE si è aggiudicato il titolo di “Master of Pwn” portando a casa 505.000 dollari dopo aver compromesso Microsoft SharePoint, Exchange, Edge e Windows 11. Il colpo più spettacolare è stato firmato da Orange Tsai (DEVCORE), che ha incatenato tre vulnerabilità su Microsoft Exchange per ottenere esecuzione remota di codice con privilegi SYSTEM, guadagnando 200.000 dollari. Anche VMware ESXi, Red Hat Linux e i nuovi agenti di codice AI sono stati compromessi. La competizione dimostra che anche i sistemi completamente aggiornati restano vulnerabili ad attacchi sofisticati.
📰 LE NOTIZIE DI OGGI
1. Zero-day NGINX CVE-2026-42945 sfruttato attivamente — e Microsoft 365 nel mirino del phishing
È in corso uno sfruttamento attivo della vulnerabilità CVE-2026-42945 su NGINX, il web server/proxy tra i più usati al mondo: gli attaccanti provocano crash dei processi worker tramite heap overflow, con potenziale esecuzione di codice remoto. In parallelo, il gruppo Tycoon2FA sta colpendo gli account Microsoft 365 con un sofisticato metodo di phishing basato su device-code authentication, rubando token OAuth che sopravvivono anche al cambio password. Le due campagne vengono spesso usate insieme in attacchi multi-vettore. Se gestite NGINX o usate Microsoft 365, verificate subito aggiornamenti e controllate gli accessi OAuth autorizzati.
2. AI viola il kernel macOS su Apple M5 in soli 6 giorni
Un piccolo team di ricercatori (Calif) ha sviluppato il primo exploit funzionante per il kernel macOS su chip Apple M5, bypassando il sistema di protezione Memory Integrity Enforcement (MIE) — considerato da Apple una delle sue difese hardware più avanzate. La parte più inquietante: l’exploit è stato costruito in meno di una settimana grazie all’assistenza del modello AI sperimentale di Anthropic “Mythos Preview”. L’attacco è di tipo “data-only” (senza iniezione di codice), il che lo rende invisibile a molti sistemi di sicurezza tradizionali. I ricercatori hanno consegnato il rapporto direttamente ad Apple il 14 maggio; i dettagli tecnici saranno resi pubblici solo dopo la patch.
3. Windows 11 Zero-Day “MiniPlasma”: exploit pubblico raggiunge privilegi SYSTEM
Circola un exploit pubblico soprannominato “MiniPlasma” che sfrutta una vulnerabilità zero-day in Windows 11 per ottenere privilegi SYSTEM (il livello più alto) senza autorizzazione. L’exploit si combina con la diffusione globale di attacchi contro NGINX, creando un quadro preoccupante per le infrastrutture aziendali che combinano sistemi Windows e server web Linux. Al momento non è disponibile una patch ufficiale: si raccomanda il monitoraggio degli accessi privilegiati e la limitazione dell’esposizione dei sistemi Windows.
4. Ransomware Chaos: ondata di attacchi tra istruzione, trasporti e industria
Il gruppo ransomware Chaos sta attraversando una fase di espansione aggressiva. Tra le vittime più eclatanti: Bergen Community College (USA), minacciato con la pubblicazione di 1 TB di dati entro 72 ore; un gigante tedesco dei trasporti; e diverse aziende manifatturiere e di sicurezza industriale. In parallelo, è stato sfruttato un exploit su NGINX per colpire produttori americani. Il ransomware Chaos è noto per la sua diffusione rapida e per l’uso del dark web per le negoziazioni. Aziende di tutti i settori devono rivedere i backup offline e i piani di risposta agli incidenti.
5. Qilin Ransomware in crescita: nuove vittime aziendali e istituzionali nel dark web
Il gruppo Qilin continua la sua campagna ransomware con nuove vittime pubblicate sul proprio sito di leak nel dark web: tra i nomi emersi nelle ultime ore figurano Buckeye Paper (USA), un museo canadese, un’azienda alimentare spagnola (Fruits Queralt) e istituti sanitari. Qilin è considerato uno dei gruppi ransomware più attivi del 2026, con un modello di doppia estorsione — cifratura dei dati più minaccia di pubblicazione. La presenza di vittime in Europa e Nord America conferma la portata globale delle operazioni.
6. 700.000 record di studenti di scuole guida spagnole esposti sul dark web
Una presunta violazione dei dati colpisce una piattaforma spagnola di scuole guida: stando alle affermazioni dei cybercriminali che circolano nei forum underground, sarebbero stati rubati e messi in vendita i dati personali di circa 700.000 studenti. Sebbene la notizia provenga da fonti del dark web e non sia ancora stata confermata ufficialmente, la vicenda ricorda l’importanza di proteggere i dati personali anche nelle piattaforme meno “critiche”. Chi ha frequentato corsi di guida in Spagna negli ultimi anni potrebbe essere interessato.
7. Presunta fuga da 146 GB legata a OpenAI — ma la verità è incerta
Sul dark web è apparsa la presunta offerta di 146 GB di dati associati a OpenAI. I ricercatori sono scettici: potrebbe trattarsi di dati già pubblici, di un mix di dataset non sensibili o di un tentativo di truffa rivolto ad altri criminali. OpenAI non ha ancora rilasciato dichiarazioni ufficiali. La vicenda è un buon promemoria: nel dark web le affermazioni non verificate sono la norma, e il panico ingiustificato fa parte del gioco dei criminali. Monitorare l’evoluzione della vicenda prima di trarre conclusioni.
🛡️ CONSIGLIO DEL GIORNO
Controllate le app autorizzate al vostro account Microsoft 365 (o Google Workspace). Con il phishing via OAuth in crescita, molte vittime non si rendono conto di aver concesso accesso permanente a terzi. Andate su account.microsoft.com → App e servizi e revocate tutto ciò che non riconoscete: un’operazione di 5 minuti che può salvarvi da una compromissione silenziosa.
Cyberbriefing Mattutino è una newsletter indipendente di cybersecurity in italiano.
🔔 Segui tutto il network su dariofadda.it — CVE News • HackMonitor • Cyber Intelligence
🔗 Fonti: BleepingComputer • Dark Reading • Infosecurity Magazine • x.com UndercodeNews, ThreatMon, GitHub Blog, Zee News, CNN, SamMobile
📡 Aggiornamenti quotidiani