Sono 57 le nuove vulnerabilità in Windows e nelle sue applicazioni che Microsoft ha corretto in occasione del rilascio del Patch Tuesday per il mese di dicembre 2025.

Tra queste, anche una zero-day che risulta essere già attivamente sfruttata e altre due vulnerabilità per le quali, invece, è disponibile in rete un PoC (Proof of Concept), per cui è altamente probabile un loro sfruttamento da parte di criminali informatici.

Ricordiamo che, secondo la classificazione Microsoft, una vulnerabilità è di tipo zero-day quando è stata divulgata pubblicamente o sfruttata attivamente prima del rilascio di una correzione ufficiale.

Il Patch Tuesday di questo mese risolve, inoltre, anche tre vulnerabilità classificate con un indice di gravità critico relative all’esecuzione di codice remoto.

Nel complesso, le vulnerabilità sono così classificate:

• 28 sono di tipo EoP (Elevation of Privilege);
• 20 sono di tipo RCE (Remote Code Execution);
• 4 di tipo ID (Information Disclosure);
• 3 di tipo Denial of Service;
• 2 di tipo spoofing.

Ricordiamo che dallo scorso 14 ottobre 2025 Microsoft ha interrotto il supporto ufficiale per Windows 10: solo gli utenti europei avranno ancora la possibilità di riceverli gratis per un altro anno.

Tutti i dettagli sul pacchetto cumulativo di aggiornamenti per questo mese sono disponibili sulla pagina ufficiale Microsoft.

Aggiornamenti Microsoft dicembre 2025: la zero-day corretta

Come dicevamo, il Patch Tuesday di dicembre 2025 interviene su una vulnerabilità zero-day già sfruttata in rete. Tracciata come CVE-2025-62221, è di tipo “Elevation of Privilege” e ha ottenuto un punteggio CVSS di 7,8.

La vulnerabilità interessa il driver Windows Cloud Files Mini Filter e se sfruttata, potrebbe consentire a un aggressore locale autenticato di elevare i privilegi a livello locale.

In particolare, per lo sfruttamento di questo bug l’aggressore dovrebbe già disporre dei diritti di esecuzione del codice sul sistema preso di mira, ma supponendo che li abbia già ottenuti, può abusare di CVE-2025-62221 per elevare i privilegi e ottenere l’accesso a livello di sistema.

È dunque importante applicare quanto prima la patch per mettere in sicurezza gli host Windows da eventuali compromissioni.

Come riportato dal CSIRT Italia, la vulnerabilità è dovuta a una gestione errata della memoria che consente a un attaccante locale autenticato di corrompere strutture interne al driver, portando alla possibilità di utilizzare aree di memoria già liberate per eseguire codice malevolo sui dispositivi target con privilegi elevati.

I dettagli delle due vulnerabilità rese pubbliche

Tra le vulnerabilità corrette con il Patch Tuesday di dicembre 2025 ce ne sono anche due per le quali risulta essere disponibile in rete un PoC (Proof of Concept).

La CVE-2025-64671 è una vulnerabilità di esecuzione di codice remoto in GitHub Copilot per Jetbrains che potrebbe consentire a un utente malintenzionato di eseguire comandi a livello locale.

Come si legge nel relativo bollettino di sicurezza, “la neutralizzazione impropria di elementi speciali utilizzati in un comando (la cosiddetta tecnica del command injection) in Copilot consente a un utente malintenzionato non autorizzato di eseguire codice a livello locale”.

Secondo la stessa Microsoft, la vulnerabilità può essere sfruttata tramite un Cross Prompt Injection in file non attendibili o server MCP. Così facendo, l’attaccante potrebbe eseguire comandi aggiuntivi aggiungendoli ai comandi consentiti nell’impostazione di approvazione automatica del terminale dell’utente.

La seconda vulnerabilità per la quale è disponibile un PoC in rete è la CVE-2025-54100: anche in questo caso si tratta di un problema di esecuzione di codice remoto in PowerShell che potrebbe causare l’esecuzione di script incorporati in una pagina web quando la pagina stessa viene recuperata utilizzando il comando Invoke-WebRequest.

Teniamo i nostri sistemi sempre aggiornati

Il Patch Tuesday mensile di Microsoft ci ricorda che il patch management non è più una pratica di routine, ma una misura di cyber difesa strategica.

on basta più semplicemente “correre ai ripari”: quando una zero-day con codice exploit già pubblico è coinvolta, il tempo diventa un fattore decisivo.

Dunque, in un contesto di attacchi sempre più veloci e mirati, la capacità delle aziende di ridurre la finestra di esposizione tra la pubblicazione delle patch e la loro applicazione diventa un fattore critico per la resilienza informatica.

Installiamo gli aggiornamenti Microsoft

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e segnalato all’utente che così può installarlo per mantenere il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 11 è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.