Microsoft corregge il difetto di Windows "Wormable" e la vulnerabilità zero-day che elimina i file

Entro Mura nel Sicurezza informatica

Traduci in:

L'ultima distribuzione di Patch Tuesday di Microsoft porta con sé un terribile avvertimento per gli utenti Windows: sono in circolazione due vulnerabilità zero-day attivamente sfruttate e una di queste può consentire agli aggressori di eliminare file critici dai sistemi presi di mira.

L'azienda ha rilasciato urgenti correzioni di sicurezza per almeno 55 vulnerabilità documentate in Windows e applicazioni correlate, tra cui difetti critici in Windows Storage, WinSock e Microsoft Excel. Tra questi, un bug di esecuzione di codice remoto (RCE) in Windows Lightweight Directory Access Protocol (LDAP) è stato definito "wormable", sollevando preoccupazioni circa lo sfruttamento diffuso.

Ecco cosa devi sapere su queste minacce e perché è fondamentale applicare tempestivamente le patch necessarie.

Sommario

Difetto di eliminazione file Zero-Day (CVE-2025-21391)

Una delle vulnerabilità più allarmanti affrontate in questo aggiornamento è CVE-2025-21391, un difetto di elevazione dei privilegi in Windows Storage che consente agli aggressori di eliminare file sul sistema di una vittima. Ciò può causare gravi interruzioni, instabilità del sistema o persino interruzioni del servizio, una grave minaccia sia per i singoli utenti che per le aziende.

Poiché questa falla è già sfruttata attivamente, gli utenti Windows dovrebbero applicare immediatamente le patch per evitare potenziali attacchi.

Il difetto WinSock concede privilegi di SISTEMA (CVE-2025-21418)

Un altro zero-day critico, CVE-2025-21418, colpisce il Windows Ancillary Function Driver per WinSock. Se sfruttato con successo, concede agli aggressori privilegi di livello SYSTEM, dando loro un controllo quasi completo su un dispositivo interessato.

Microsoft ha classificato questa vulnerabilità come minaccia ad alta priorità, esortando gli amministratori a distribuire patch senza indugio per ridurre al minimo il rischio di compromissione.

Un bug di esecuzione di codice remoto “Wormable” (CVE-2025-21376)

Una delle vulnerabilità più preoccupanti di questo aggiornamento è CVE-2025-21376, una falla di esecuzione di codice remoto (RCE) nel protocollo Windows Lightweight Directory Access Protocol (LDAP).

Questo bug consente a un aggressore non autenticato di inviare richieste appositamente create a un server LDAP vulnerabile, causando un buffer overflow che potrebbe essere sfruttato per l'esecuzione di codice remoto. Gli esperti di sicurezza avvertono che questa vulnerabilità è wormable, il che significa che potrebbe essere utilizzata per auto-propagarsi attraverso le reti senza interazione dell'utente.

Secondo ZDI (Zero Day Initiative), le organizzazioni che utilizzano server LDAP dovrebbero testare e distribuire urgentemente la patch per prevenire potenziali attacchi su larga scala.

Esecuzione di codice remoto di Microsoft Excel (CVE-2025-21387)

Anche gli utenti di Microsoft Excel sono a rischio a causa di CVE-2025-21387, una vulnerabilità di esecuzione di codice remoto che può essere sfruttata tramite il riquadro di anteprima. Ciò significa che non è richiesta alcuna interazione da parte dell'utente: la semplice apertura di un file dannoso nel riquadro di anteprima potrebbe innescare un exploit.

Per mitigare completamente questa minaccia, Microsoft ha rilasciato diverse patch che devono essere tutte installate per garantire una protezione completa.

Altre vulnerabilità degne di nota

Microsoft ha inoltre risolto altre importanti falle di sicurezza, tra cui:

CVE-2025-21194 – Un bug di bypass delle funzionalità che interessa Microsoft Surface.
CVE-2025-21377 – Una vulnerabilità di spoofing nell'hash NTLM, che potrebbe consentire a un aggressore di rubare l'hash NTLMv2 di un utente e di autenticarsi come quell'utente.

La mancanza di IOC da parte di Microsoft lascia i difensori all'oscuro

Nonostante la gravità di queste vulnerabilità, Microsoft non ha fornito Indicatori di Compromissione (IOC) o dati di telemetria per aiutare i team di sicurezza a rilevare lo sfruttamento attivo. Questa mancanza di trasparenza rende più difficile per i difensori identificare se sono stati compromessi.

Cosa dovresti fare adesso

Applica immediatamente tutte le patch disponibili. Gli aggressori stanno già sfruttando alcune di queste falle, rendendo essenziali gli aggiornamenti rapidi.
Monitora l'attività di rete per traffico LDAP sospetto. La vulnerabilità LDAP wormable potrebbe essere utilizzata per attacchi su larga scala.
Disattiva il riquadro di anteprima in Microsoft Excel. Questo semplice passaggio può aiutare a mitigare il rischio di attacchi zero-click.
Utilizzare strumenti di protezione degli endpoint e di monitoraggio della sicurezza per rilevare l'escalation dei privilegi o l'eliminazione non autorizzata di file.

Con la crescente sofisticazione delle minacce informatiche, restare aggiornati sugli aggiornamenti del Patch Tuesday è più importante che mai. Ritardare queste correzioni potrebbe rendere il tuo sistema vulnerabile a exploit pericolosi, perdita di dati e potenziali attacchi ransomware.

Gli utenti Microsoft dovrebbero agire subito, prima che gli aggressori colpiscano.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione