Martedì, Microsoft ha rilasciato aggiornamenti di sicurezza per correggere 57 vulnerabilità nei suoi software, tra cui sei gravi falle di sicurezza zero-day che sono già state attivamente sfruttate.
Delle 57 vulnerabilità risolte:
- 6 sono classificate come Critiche,
- 50 come Importanti,
- 1 come Bassa gravità.
In particolare, 23 vulnerabilità consentivano l’esecuzione remota di codice, mentre 22 erano legate all’elevazione dei privilegi.
Questi aggiornamenti si aggiungono alle 17 falle di sicurezza corrette nel browser Microsoft Edge (basato su Chromium) dall’ultimo Patch Tuesday. Tra queste, una vulnerabilità di spoofing (CVE-2025-26643, punteggio CVSS: 5.4) specifica per il browser.
Le sei vulnerabilità zero-day attivamente sfruttate
Microsoft ha identificato sei vulnerabilità già sfruttate attivamente dagli attaccanti:
- CVE-2025-24983 (CVSS 7.0) → Vulnerabilità use-after-free (UAF) nel sottosistema Windows Win32 Kernel, che consente a un attaccante autorizzato di elevare i privilegi localmente.
- CVE-2025-24984 (CVSS 4.6) → Vulnerabilità di divulgazione di informazioni nel filesystem NTFS che permette a un attaccante con accesso fisico al dispositivo di leggere porzioni di memoria collegando una USB dannosa.
- CVE-2025-24985 (CVSS 7.8) → Vulnerabilità di overflow intero nel driver Fast FAT File System di Windows, che consente a un attaccante non autorizzato di eseguire codice localmente.
- CVE-2025-24991 (CVSS 5.5) → Vulnerabilità di lettura fuori dai limiti (out-of-bounds) in Windows NTFS, che consente a un attaccante autorizzato di accedere a informazioni sensibili.
- CVE-2025-24993 (CVSS 7.8) → Vulnerabilità di overflow del buffer basato su heap in Windows NTFS, che consente l’esecuzione di codice locale da parte di un attaccante non autorizzato.
- CVE-2025-26633 (CVSS 7.0) → Vulnerabilità di neutralizzazione impropria nella Microsoft Management Console, che permette a un attaccante di bypassare una misura di sicurezza localmente.
L’exploit individuato da ESET e il malware PipeMagic
L’azienda di sicurezza informatica ESET, che ha scoperto e segnalato la vulnerabilità CVE-2025-24983, ha dichiarato di aver individuato l’exploit zero-day in marzo 2023. Questo attacco veniva veicolato tramite un backdoor denominato PipeMagic, rilevato su sistemi compromessi.
“La vulnerabilità è un use-after-free nel driver Win32k,” ha spiegato ESET. “Attraverso l’uso dell’API WaitForInputIdle, la struttura W32PROCESS viene dereferenziata più volte del necessario, causando una condizione di UAF. Per sfruttare la falla, è necessario vincere una race condition.”
PipeMagic, scoperto per la prima volta nel 2022, è un trojan modulare basato su plugin che ha preso di mira entità in Asia e Arabia Saudita. Nel 2024, il malware è stato diffuso tramite una falsa applicazione OpenAI ChatGPT, utilizzata come esca per infettare i dispositivi.
Kaspersky, in un’analisi pubblicata nell’ottobre 2024, ha rivelato una caratteristica unica di PipeMagic:
“Il malware genera un array casuale di 16 byte per creare una pipe denominata nel formato
\.pipe1.Viene quindi avviato un thread che crea continuamente questa pipe, legge i dati da essa e la elimina. Questa pipe viene utilizzata per ricevere payload codificati e segnali di stop tramite l’interfaccia locale predefinita.”
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!