Microsoft inaugura il 2025 con nuove patch per 161 falle di sicurezza nel suo portafoglio software, tra cui tre zero-day sfruttati attivamente in attacchi.
Le falle corrette da Microsoft a gennaio 2025
Delle 161 falle, 11 sono classificate come critiche e 149 come importanti in termini di gravità. Un’altra vulnerabilità, un CVE non-Microsoft legato a un bypass di Windows Secure Boot (CVE-2024-7344), non è stata classificata in termini di gravità e secondo il Zero Day Initiative, questo aggiornamento rappresenta il più alto numero di CVE risolti in un singolo mese dal 2017.
Questi aggiornamenti si aggiungono alle sette vulnerabilità risolte nel browser Edge basato su Chromium da parte di Microsoft dalla pubblicazione delle patch di dicembre 2024.
Le moltissime falle corrette dalla casa di Redmond
Tra le patch rilasciate, spicca un trio di vulnerabilità in Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334 e CVE-2025-21335, punteggi CVSS: 7.8), che Microsoft ha dichiarato essere state sfruttate attivamente:
“Un attaccante che sfrutta con successo questa vulnerabilità potrebbe ottenere privilegi di SISTEMA“, ha affermato l’azienda in un avviso per queste tre vulnerabilità.
Come di consueto, non è ancora noto come queste falle vengano sfruttate né in quale contesto. Microsoft non ha inoltre fornito dettagli sull’identità dei malintenzionali o sulla portata degli attacchi.
La virtualizzazione
Dato che si tratta di vulnerabilità di escalation dei privilegi, è probabile che vengano utilizzate come parte di attività successive a un compromesso iniziale, quando un attaccante ha già ottenuto accesso a un sistema bersaglio tramite altri mezzi, ha sottolineato Satnam Narang, ingegnere di ricerca senior presso Tenable.
“Il Virtualization Service Provider (VSP) risiede nella partizione radice di un’istanza Hyper-V e fornisce supporto per dispositivi sintetici alle partizioni figlie tramite il Virtual Machine Bus (VMBus): è la base di come Hyper-V permette alla partizione figlia di simulare di essere un vero computer“, ha spiegato Adam Barnett, ingegnere software capo di Rapid7 che ha successivamente aggiunto: “Dato che l’intero sistema costituisce un confine di sicurezza, sorprende che Microsoft non abbia riconosciuto vulnerabilità nel VSP fino ad oggi, ma non sarà affatto sorprendente se ne emergeranno altre.“
Lo sfruttamento delle vulnerabilità in Windows Hyper-V NT Kernel Integration VSP ha portato anche l’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) ad aggiungerle al suo catalogo delle vulnerabilità sfruttate note (KEV), richiedendo alle agenzie federali di applicare le correzioni entro il 4 febbraio 2025.
Ulteriori vulnerabilità note pubblicamente
Microsoft ha avvisato che cinque vulnerabilità sono pubblicamente note:
- CVE-2025-21186, CVE-2025-21366, CVE-2025-21395 (punteggi CVSS: 7.8) – Vulnerabilità di esecuzione di codice remoto in Microsoft Access.
- CVE-2025-21275 (punteggio CVSS: 7.8) – Vulnerabilità di elevazione dei privilegi nel programma di installazione dei pacchetti di Windows.
- CVE-2025-21308 (punteggio CVSS: 6.5) – Vulnerabilità di spoofing nei temi di Windows.
È interessante notare che la CVE-2025-21308, che potrebbe portare alla divulgazione impropria di un hash NTLM, era già stata segnalata da 0patch come un bypass per la CVE-2024-38030. Micropatch per la vulnerabilità sono state rilasciate nell’ottobre 2024.
Tutte e tre le vulnerabilità in Microsoft Access sono state attribuite a Unpatched.ai, una piattaforma di scoperta di vulnerabilità guidata dall’IA; Action1 ha osservato che, sebbene le falle siano categorizzate come vulnerabilità di esecuzione di codice remoto (RCE), lo sfruttamento richiede che un attaccante convinca l’utente ad aprire un file appositamente creato.
Correzioni di vulnerabilità critiche
L’aggiornamento include anche la risoluzione di cinque vulnerabilità di gravità critica:
- CVE-2025-21294 (punteggio CVSS: 8.1) – Vulnerabilità di esecuzione di codice remoto nell’autenticazione Digest di Microsoft.
- CVE-2025-21295 (punteggio CVSS: 8.1) – Vulnerabilità di esecuzione di codice remoto nel meccanismo di sicurezza SPNEGO Extended Negotiation (NEGOEX).
- CVE-2025-21298 (punteggio CVSS: 9.8) – Vulnerabilità di esecuzione di codice remoto in Windows Object Linking and Embedding (OLE).
- CVE-2025-21307 (punteggio CVSS: 9.8) – Vulnerabilità di esecuzione di codice remoto nel driver Windows Reliable Multicast Transport (RMCAST).
- CVE-2025-21311 (punteggio CVSS: 9.8) – Vulnerabilità di elevazione dei privilegi in Windows NTLM V1.
Per proteggersi, Microsoft raccomanda agli utenti di leggere i messaggi email in formato testo semplice e di utilizzare Microsoft Outlook per ridurre il rischio di apertura di file RTF da fonti sconosciute o non affidabili.
Patch di sicurezza da altri fornitori
Oltre a Microsoft, anche altri fornitori hanno rilasciato aggiornamenti di sicurezza per correggere diverse vulnerabilità, tra cui:
- Adobe
- Amazon Web Services
- Arm
- ASUS
- Broadcom (incluso anche VMware)
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitHub
- GitLab
- Google Android e Pixel
- Google Chrome
- Google Cloud
- HP
- HP Enterprise (compreso Aruba Networking)
- Huawei
- IBM
- Imagination Technologies
- Ivanti
- Juniper Networks
- Lenovo
- Varie distribuzioni di Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, e Ubuntu e derivate come Zorin OS
- MediaTek
- Moxa
- Mozilla Firefox, Firefox ESR, e Thunderbird
- NVIDIA
- Palo Alto Networks
- Phoenix Technologies
- Qualcomm
- Rockwell Automation
- Rsync
- Salesforce
- Samsung
- SAP
- Schneider Electric
- Siemens
- SimpleHelp
- SonicWall
- Splunk
- Veeam
- Zoho ManageEngine
- Zoom
- Zyxel
