Il mese di maggio 2025 si apre con una serie di aggiornamenti fondamentali per la sicurezza dei sistemi Windows 10 e Windows 11, accompagnati dal tradizionale Patch Tuesday di Microsoft. Le novità riguardano sia la correzione di cinque vulnerabilità zero-day attivamente sfruttate, sia l’introduzione di funzionalità avanzate nei sistemi operativi più recenti. Tra le modifiche degne di nota, anche il rilascio degli aggiornamenti cumulativi KB5058411 e KB5058405 per Windows 11, e KB5058379 per Windows 10, che risolvono problematiche tecniche specifiche, migliorano l’esperienza utente e rafforzano la protezione dei dati.
5 vulnerabilità zero-day corrette con il Patch Tuesday di maggio
Il Patch Tuesday di maggio 2025 include la risoluzione di 72 falle di sicurezza, tra cui cinque vulnerabilità zero-day attivamente sfruttate e due già pubblicamente divulgate. Tra queste, sei sono classificate come critiche, principalmente per la possibilità di esecuzione di codice remoto, mentre le altre riguardano problemi di elevazione dei privilegi, disclosure di informazioni, interruzioni di servizio e falsificazione.
Le vulnerabilità zero-day corrette colpiscono componenti chiave del sistema operativo, come la DWM Core Library, il Common Log File System Driver, il driver per WinSock, il motore di scripting e Microsoft Defender for Identity. In tutti i casi, la falla permetteva a un attaccante autorizzato di ottenere privilegi SYSTEM e di eseguire codice arbitrario.
Particolare attenzione merita CVE-2025-30397, una vulnerabilità di tipo memory corruption nel motore di scripting di Microsoft. Essa può essere attivata tramite browser come Microsoft Edge o Internet Explorer, inducendo l’utente a cliccare su un link malevolo. In questo scenario, l’attaccante riesce a eseguire codice da remoto con i privilegi dell’utente corrente.
Un altro caso critico è rappresentato da CVE-2025-32709, legato al driver Ancillary Function per WinSock, vulnerabile a un attacco di tipo use-after-free, che consente l’elevazione locale dei privilegi. Tutte le falle sono state segnalate o dal Microsoft Threat Intelligence Center o da ricercatori indipendenti, tra cui componenti del Google Threat Intelligence Group e di CrowdStrike.
Aggiornamenti cumulativi per Windows 11: KB5058411 e KB5058405 introducono funzioni AI e migliorano la ricerca
Con l’introduzione degli aggiornamenti KB5058411 per la versione 24H2 e KB5058405 per la 23H2, Windows 11 si arricchisce non solo di patch di sicurezza ma anche di nuove funzionalità basate su intelligenza artificiale per i dispositivi Copilot+.
La più significativa è Recall (anteprima), una funzione che permette agli utenti di cercare e ritrovare contenuti visualizzati in precedenza semplicemente descrivendone il contenuto. Grazie all’utilizzo di snapshot e alla protezione tramite Windows Hello, Recall consente un accesso controllato e protetto alla cronologia di attività dell’utente. Le immagini delle attività vengono salvate localmente e possono essere gestite direttamente dall’utente, il quale può decidere di sospendere il salvataggio in qualsiasi momento.
Un’altra innovazione è Click to Do, anch’essa in anteprima, che consente di interagire rapidamente con contenuti visivi sullo schermo, come immagini o testo. Attivabile con la combinazione tasto Windows + clic o Windows + Q, permette ad esempio di rimuovere sfondi o oggetti con Paint oppure di selezionare e manipolare testo attraverso azioni intelligenti.
La funzionalità Windows Search è stata ulteriormente migliorata, grazie all’integrazione di modelli semantici capaci di interpretare ricerche complesse. Adesso è possibile trovare file o impostazioni anche senza ricordarne il nome esatto, semplificando l’esperienza di ricerca attraverso la barra delle applicazioni, Esplora file e le impostazioni. Questa novità funziona anche offline, sfruttando la potenza di elaborazione locale delle NPU a 40+ TOPS.
Sono inoltre stati introdotti miglioramenti per il supporto ai widget e all’app Phone Link, con la possibilità di personalizzare il widget meteo sulla schermata di blocco e di gestire contenuti multimediali tra PC e dispositivo mobile in modo più fluido. Gli sviluppatori web potranno anche creare widget personalizzati integrabili in diverse superfici del sistema operativo.
Aggiornamento KB5058379 per Windows 10: risolto il bug di SgrmBroker e miglioramenti sulla sicurezza
Per quanto riguarda Windows 10, l’aggiornamento cumulativo KB5058379 per le versioni 22H2 e 21H2 introduce quattro correzioni principali. Il focus è su problemi noti di compatibilità, performance e sicurezza, tra cui la risoluzione del famigerato errore SgrmBroker rilevato nei registri di sistema.
Questo errore, relativo al servizio System Guard Runtime Monitor Broker, si presentava come un evento 7023 nel Visualizzatore eventi e causava l’interruzione anomala del servizio. L’aggiornamento odierno corregge definitivamente questa anomalia, migliorando la stabilità del sistema nei dispositivi aggiornati da gennaio 2025 in poi.
Importante anche l’aggiornamento alla Windows Kernel Vulnerable Driver Blocklist, che introduce nuovi driver da bloccare, noti per essere stati usati in attacchi di tipo BYOVD (Bring Your Own Vulnerable Driver). Tale pratica, ormai diffusa tra attori malevoli, sfrutta driver legittimi ma vulnerabili per ottenere privilegi di sistema.
È stata inoltre introdotta una miglioria specifica per la versione 21H2, relativa al supporto avanzato per il Secure Boot Advanced Targeting (SBAT) e per il rilevamento di sistemi Linux attraverso EFI. Questo aggiornamento riflette l’impegno di Microsoft nell’ottimizzare la compatibilità inter-sistema, soprattutto in ambienti dual-boot o virtualizzati.
Un problema noto riguarda invece la compatibilità con il Citrix Session Recording Agent versione 2411, che può causare il fallimento dell’installazione dell’aggiornamento. Microsoft consiglia di disattivare temporaneamente il servizio di monitoraggio di Citrix prima di procedere all’aggiornamento e di riattivarlo solo a processo completato.
Approfondimento tecnico sui principali CVE corretti nel Patch Tuesday di maggio
Tra le 72 vulnerabilità corrette da Microsoft con il Patch Tuesday di maggio 2025, spiccano per gravità ed esposizione le cinque vulnerabilità zero-day attivamente sfruttate in attacchi reali. Tutte permettevano agli aggressori di ottenere privilegi elevati o eseguire codice da remoto, ed erano presenti in componenti fondamentali del sistema operativo.
La prima, CVE-2025-30400, riguarda la libreria DWM Core, responsabile della gestione delle finestre sul desktop. Il bug, di tipo use-after-free, consentiva a un utente con privilegi limitati di ottenere accesso SYSTEM, compromettendo l’intera macchina. Una vulnerabilità analoga è CVE-2025-32701, che colpisce il Common Log File System Driver e sfrutta la medesima tecnica.
Ancora nel medesimo componente, CVE-2025-32706 introduce un ulteriore rischio: in questo caso, l’attacco si basa su una validazione errata degli input, una falla che permette l’elevazione locale dei privilegi. Questa vulnerabilità è stata segnalata da ricercatori di alto profilo, tra cui Google Threat Intelligence Group e il CrowdStrike Advanced Research Team.
Un’altra falla critica, CVE-2025-32709, colpisce il driver Ancillary Function per WinSock, parte essenziale della gestione delle comunicazioni di rete. Anche in questo caso si tratta di un use-after-free, che consente l’esecuzione locale con privilegi amministrativi. Microsoft ha ricevuto la segnalazione da un ricercatore anonimo.
L’unica vulnerabilità di esecuzione remota attivamente sfruttata, CVE-2025-30397, è associata al motore di scripting usato da browser come Edge e Internet Explorer. Il bug nasce da una condizione di type confusion, che si verifica quando un componente accede a una risorsa trattandola in modo inappropriato, facilitando così l’esecuzione di codice arbitrario via rete.
A queste si aggiungono due vulnerabilità già pubblicamente divulgate prima della patch:
- CVE-2025-26685: una falla nello strumento Microsoft Defender for Identity che consente ad un utente di spoofare identità su una rete locale senza autenticazione.
- CVE-2025-32702: una falla in Visual Studio che consente l’esecuzione di comandi non autorizzati a livello locale tramite command injection.
Impatto e implicazioni per le aziende e gli utenti finali
Il rilascio contemporaneo di aggiornamenti su più versioni di Windows, con inclusione di funzionalità avanzate e correzioni per zero-day, riflette un momento strategico per la protezione dell’intero ecosistema Microsoft. Gli aggiornamenti KB5058411, KB5058405 e KB5058379 diventano di conseguenza obbligatori, soprattutto per le realtà aziendali che operano in ambienti misti tra Windows 10 e Windows 11.
Da un lato, il miglioramento delle misure di mitigazione BYOVD rappresenta un passaggio critico nella prevenzione di escalation dei privilegi attraverso driver vulnerabili, una tecnica divenuta sempre più frequente nelle campagne di ransomware avanzati. Dall’altro, le funzionalità basate su intelligenza artificiale locale nei sistemi Copilot+ delineano una nuova fase nell’interazione uomo-macchina, fondata su un paradigma predittivo e contestuale.
Dal punto di vista della gestione IT, l’introduzione di strumenti come Click to Do e Recall impone una nuova serie di riflessioni su policy aziendali, privacy e capacità di auditing. Le funzionalità che prevedono la registrazione continua dell’attività utente, anche se gestibili e disattivabili, potrebbero entrare in conflitto con norme locali in materia di protezione dei dati personali.
Gli aggiornamenti evidenziano inoltre un cambio di passo rispetto alla segmentazione dell’utenza: Windows 11 24H2 introduce innovazioni destinate a dispositivi di nuova generazione con hardware AI-optimized, mentre Windows 10 resta un punto di riferimento per contesti legacy o infrastrutture a lungo ciclo di vita.