Nel Patch Tuesday di settembre 2025, Microsoft ha distribuito 81 correzioni di sicurezza, tra cui due vulnerabilità zero-day già sfruttate attivamente.

Si tratta di un aggiornamento particolarmente rilevante, che interessa componenti chiave del sistema operativo Windows, applicazioni della suite Office e servizi cloud, con implicazioni critiche per le infrastrutture aziendali.

Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.

Le due vulnerabilità zero-day sotto attacco

Come dicevamo, il Patch Tuesday di questo mese risolve due vulnerabilità zero-day rese pubbliche in Windows SMB Server e Microsoft SQL Server.

Ricordiamo che Microsoft classifica una vulnerabilità zero-day come resa pubblica o attivamente sfruttata quando non è ancora disponibile alcuna correzione ufficiale.

CVE-2025-24855: esecuzione di codice remoto in Microsoft Word

La vulnerabilità CVE-2025-24855 riguarda Microsoft Word e consente l’esecuzione di codice remoto (RCE, Remote Code Execution).

L’attacco si concretizza tipicamente attraverso l’invio di un documento malevolo via e-mail o tramite servizi di file sharing. Una volta aperto, il file innesca l’esecuzione di codice arbitrario con i privilegi dell’utente, permettendo all’attaccante di installare malware, sottrarre credenziali o avviare movimenti laterali nella rete.

Dal punto di vista tecnico, lo scenario di exploit più probabile è l’impiego di documenti weaponizzati contenenti macro o payload offuscati, spesso inseriti all’interno di campagne di phishing mirate. Questa dinamica è particolarmente insidiosa in contesti Enterprise, dove Word rimane uno strumento quotidiano di lavoro e la superficie d’attacco è molto ampia.

L’uso di tecniche di social engineering rende la falla ancora più pericolosa: bastano un clic e un contesto apparentemente legittimo per avviare la catena d’infezione.

CVE-2025-26057: privilege escalation in Windows CLFS

La seconda zero-day, CVE-2025-26057, è una vulnerabilità di elevazione dei privilegi (EoP, Elevation of Privilege) nel Windows Common Log File System (CLFS). Se sfruttata con successo, consente a un attaccante di passare da un account con privilegi limitati a un livello amministrativo.

Questa falla non viene generalmente utilizzata come vettore di ingresso, ma come parte di una catena di exploit multilivello. Ad esempio, dopo aver compromesso una workstation con un attacco RCE come quello di Word, l’aggressore può sfruttare CLFS per consolidare la propria presenza con privilegi elevati, disabilitare strumenti di sicurezza o distribuire ransomware su larga scala.

Gli scenari di exploit noti suggeriscono che la vulnerabilità sia già stata inserita in framework di attacco customizzati, probabilmente impiegati da gruppi APT e operatori di ransomware-as-a-service.

Altre vulnerabilità di rilievo

Oltre alle due zero-day, Microsoft ha corretto 17 vulnerabilità critiche che consentono esecuzione di codice remoto.

Tra queste spiccano quelle che coinvolgono Windows Remote Desktop Protocol (RDP), storicamente bersaglio di campagne ransomware automatizzate, e i componenti legati a Visual Studio e .NET, spesso sfruttati come vettori indiretti in attacchi supply chain.

Aggiornamenti significativi riguardano anche Microsoft Edge (basato su Chromium) e i servizi Azure e Dynamics 365, confermando l’interesse crescente dei criminali verso gli ambienti cloud e ibridi.

Punteggi CVSS e gravità complessiva

La distribuzione delle vulnerabilità è la seguente:

• 17 critiche (principalmente RCE);
• 63 importanti;
• 1 moderata.

Il punteggio CVSS massimo registrato è 9.8/10, indice di exploitability elevata e potenziale impatto sulla disponibilità e riservatezza dei dati.

Implicazioni per i team di sicurezza

Le due zero-day evidenziano la rapidità con cui gli attaccanti riescono a incorporare nuove falle nei propri arsenali. Le organizzazioni dovrebbero:

• dare priorità immediata alla distribuzione delle patch su sistemi con Microsoft Word e Windows esposti all’esterno;
• monitorare i log del CLFS per rilevare comportamenti anomali legati a tentativi di privilege escalation;
• aggiornare i sistemi di detection e le regole EDR per intercettare documenti sospetti e exploit legati a CLFS;
• rafforzare la consapevolezza degli utenti contro il phishing, che resta il principale vettore di attacco per le falle Office.

Teniamo i nostri sistemi sempre aggiornati

Il Patch Tuesday di settembre 2025 conferma che il patch management non è più una pratica di routine, ma una misura di cyber difesa strategica.

Le due zero-day – una legata all’ingegneria sociale e l’altra al consolidamento post-exploit – rappresentano una combinazione particolarmente insidiosa, che riflette la sofisticazione delle campagne attuali.

In un contesto di attacchi sempre più veloci e mirati, la capacità delle aziende di ridurre la finestra di esposizione tra la pubblicazione delle patch e la loro applicazione diventa un fattore critico per la resilienza informatica.

Installiamo gli aggiornamenti Microsoft

L’analisi delle vulnerabilità evidenzia l’importanza di mantenere sempre aggiornati i propri sistemi e i software installati su di essi, soprattutto in un panorama tecnologico in rapida evoluzione dove le minacce alla sicurezza informatica sono sempre in agguato.

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.

Ricordiamo che Windows 10 completerà il suo ciclo di vita il prossimo 14 ottobre 2025: dopo questa data, Microsoft interromperà il rilascio gratuito di aggiornamenti software, assistenza tecnica e correzioni di sicurezza. Ma la stessa Microsoft ha comunicato che sarà ancora possibile ricevere gli update di sicurezza di Windows 10 per un altro anno.

In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.