Vulnerabilità 0-Day sfruttata in Windows da un gruppo ransomware

Vulnerabilità 0-Day sfruttata in Windows da un gruppo ransomware

Urgente: nuova vulnerabilità 0-day di Windows e aggiornamenti di sicurezza essenziali

Proprio ieri, Microsoft ha annunciato aggiornamenti di sicurezza critici per Windows, sottolineando l’importanza di un’azione immediata per proteggere i sistemi da una vulnerabilità 0-day scoperta di recente e attualmente sfruttata in natura.

Alla vulnerabilità, identificata come Windows Common Log File System Driver Elevation of Privilege Vulnerability, è stato assegnato l’identificatore di tracciamento CVE-2025-29824.

Panoramica della vulnerabilità

Ecco alcuni dettagli essenziali riguardanti la vulnerabilità e il suo impatto sui sistemi Windows:

  • La vulnerabilità interessa diverse versioni supportate di Windows, tra cui Windows 10, Windows 11 e Windows Server 2025.
  • In particolare, l’exploit non colpisce Windows 11, versione 24H2.
  • Questa specifica vulnerabilità è caratterizzata da una falla di sicurezza di tipo use-after-free, che consente potenzialmente agli aggressori di eseguire attacchi di elevazione locale.
  • L’aspetto fondamentale è che non è richiesta alcuna interazione da parte dell’utente affinché l’exploit abbia successo.
  • In caso di sfruttamento riuscito, gli aggressori potrebbero ottenere privilegi di sistema elevati, rappresentando una minaccia significativa.

Approfondimenti sugli attacchi mirati

Microsoft ha segnalato che, sebbene gli attacchi siano attualmente limitati, hanno preso di mira specificamente vari settori, tra cui:

  • Settori IT negli Stati Uniti.
  • Il settore immobiliare negli Stati Uniti.
  • Il settore finanziario in Venezuela.
  • Un’azienda di software spagnola.
  • Attività di vendita al dettaglio in Arabia Saudita.

Per maggiori informazioni, potete fare riferimento all’annuncio ufficiale di Microsoft sul suo blog sulla sicurezza.

Aggiornare la guida all’installazione

Per mitigare i rischi associati a questa pericolosa vulnerabilità, gli utenti dovrebbero installare tempestivamente gli aggiornamenti di sicurezza pertinenti:

  • Gli utenti di Windows 11 possono installare rapidamente la patch andando su Impostazioni > Windows Update nelle impostazioni di sistema. Sarà necessario riavviare il sistema per completare l’installazione.
  • Purtroppo, Microsoft ha annunciato un ritardo nel rilascio della patch per Windows 10. Non è stata specificata una tempistica per la sua disponibilità, quindi gli utenti sono invitati a rimanere vigili e a monitorare la pagina ufficiale CVE sul sito Microsoft per gli aggiornamenti.

Dettagli sullo sfruttamento tecnico

Da un punto di vista tecnico, la vulnerabilità risiede nel driver del kernel del Common Log File System (CLFS).Microsoft ha osservato che il vettore di attacco iniziale è ancora in fase di studio; tuttavia, ha identificato significativi comportamenti pre-sfruttamento associati a Storm-2460, un noto collettivo di ransomware.

Tra i comportamenti degni di nota osservati si segnalano:

  • Utilizzo dello certutilstrumento per scaricare file dannosi da siti web legittimi ma compromessi.
  • Il file scaricato è un file MSBuild dannoso.
  • Il malware identificato, noto come PipeMagic, è associato agli attacchi dal 2023.
  • Dopo la distribuzione del malware, la vulnerabilità viene sfruttata per iniettare processi nelle operazioni di sistema.

Il malware è in grado di estrarre e analizzare la memoria LSASS per sequestrare le credenziali dell’utente, dando il via a successive attività ransomware caratterizzate dalla crittografia dei file e dall’imposizione di estensioni casuali.

Raccomandazioni finali

Alla luce di questi sviluppi, Microsoft esorta vivamente gli utenti a installare senza indugio le patch di sicurezza di Windows disponibili. Il rinvio della patch per Windows 10 è preoccupante, in quanto lascia questi sistemi vulnerabili fino a quando Microsoft non rilascerà la correzione necessaria.

Il tuo turno:

Domande frequenti

1. Cos’è la vulnerabilità CVE-2025-29824 e come può influire sul mio sistema Windows?

La vulnerabilità CVE-2025-29824 è un problema di elevazione dei privilegi nel Common Log File System di Windows, che consente agli aggressori di ottenere privilegi di sistema senza richiedere l’interazione dell’utente. Ciò può causare significative violazioni dei dati e potenzialmente gravi interruzioni operative.

2. Come posso verificare se il mio sistema Windows è vulnerabile a questo exploit?

Se utilizzi Windows 10 o una versione precedente, sei vulnerabile. Controlla la presenza di aggiornamenti di sicurezza tramite Impostazioni > Windows Update. Per gli utenti di Windows 11, Microsoft ha già fornito una patch, quindi assicurati di installarla per proteggere il sistema.

3. Cosa devo fare se utilizzo Windows 10 e la patch è in ritardo?

Poiché la patch per Windows 10 è stata posticipata, è fondamentale monitorare la pagina ufficiale CVE di Microsoft per gli aggiornamenti. Limitate la vostra attività online ove possibile e valutate l’adozione di ulteriori misure di sicurezza informatica esterne per proteggere i vostri dati durante questo periodo di vulnerabilità.

Fonte e immagini

Articoli correlati:

NVIDIA sfrutta i chip di memoria GDDR7 di SK Hynix per le prossime GPU della serie RTX 50
Scarica Rufus versione 4.7.2231

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *