Sommario
Il mese di maggio si sta rivelando cruciale per l’ecosistema Microsoft. Tra nuovi rilasci di build Insider per Windows 11, conferme ufficiali su problemi di sicurezza nei recenti aggiornamenti di Windows 10, ed exploit riusciti durante la competizione Pwn2Own Berlin 2025, emerge un quadro di vulnerabilità strutturale che impatta aziende, utenti e fornitori tecnologici in modo trasversale. In questo contesto, Microsoft si trova a dover equilibrare l’innovazione della sua piattaforma operativa con una crescente pressione sulle tempistiche di risposta alle falle zero-day, sfruttate sempre più in fretta dai cyber criminali e dai ricercatori etici.
Windows 11 build 27858: le novità del canale Canary non bastano a rassicurare sulle criticità emergenti
Nel canale Canary, dedicato agli sviluppatori e ai tester più esperti, Microsoft ha reso disponibile la nuova build 27858 di Windows 11, introducendo aggiornamenti al motore di gestione linguistica e miglioramenti al processo di installazione dei pacchetti opzionali. L’aggiornamento include anche nuove API per il supporto ai file .cab e .msu firmati, garantendo una maggiore uniformità nel deployment di aggiornamenti e componenti.
Viene inoltre introdotta una nuova logica per il fallback automatico in caso di interruzioni nell’installazione degli aggiornamenti tramite PowerShell, con l’obiettivo di ridurre gli errori critici in ambito enterprise. Tuttavia, i miglioramenti sono di tipo infrastrutturale e non toccano aspetti di sicurezza rilevanti per gli utenti finali, lasciando aperte le preoccupazioni nate dalle recenti segnalazioni su aggiornamenti instabili.
BitLocker e Windows 10: aggiornamenti di maggio costringono migliaia di utenti a reinserire le chiavi di ripristino
Microsoft ha confermato che il recente aggiornamento cumulativo KB5058379, rilasciato con il Patch Tuesday di maggio per Windows 10, ha causato l’attivazione della schermata BitLocker Recovery su numerosi dispositivi, obbligando gli utenti a inserire manualmente la chiave di ripristino al successivo avvio. L’incidente ha generato confusione e paralizzato temporaneamente flotte aziendali con centinaia di dispositivi bloccati, in particolare nei contesti dove la gestione delle chiavi di BitLocker non è centralizzata.
La causa del problema sembra legata a modifiche apportate a Windows Defender System Guard, che influenzano il processo di validazione del bootloader e portano all’errata attivazione della modalità di recupero. Secondo Microsoft, la combinazione tra la patch e impostazioni specifiche del firmware (come TPM attivo e Secure Boot) può generare un falso positivo di violazione dell’integrità, forzando il sistema in modalità protetta.
La soluzione temporanea prevede la disabilitazione del controllo TPM o la sospensione di BitLocker prima dell’aggiornamento. Ma la necessità di interventi manuali su larga scala solleva dubbi sulla qualità dei test pre-release, soprattutto in ambienti dove l’aggiornamento automatico è configurato per default.
Pwn2Own Berlin 2025: SharePoint, VMware ESXi e altri sistemi critici violati con exploit zero-day
Il culmine della crisi di sicurezza arriva da Pwn2Own Berlin 2025, dove team di ricercatori internazionali hanno ottenuto 695.000 dollari in due giorni sfruttando 20 vulnerabilità zero-day su una vasta gamma di software enterprise. Particolarmente gravi le falle individuate in ambienti Microsoft e VMware, che mettono a rischio la sicurezza di infrastrutture mission-critical.
Nel dettaglio, i ricercatori del team Viettel Cyber Security hanno compromesso Microsoft SharePoint utilizzando una catena di exploit composta da bypass di autenticazione e deserializzazione insicura, guadagnando 100.000 dollari. L’exploit consente accesso amministrativo completo, violando la sicurezza di ambienti documentali largamente adottati da enti pubblici e aziende globali.
Ancora più preoccupante è l’exploit dimostrato da Nguyen Hoang Thach di STARLabs SG, che ha guadagnato 150.000 dollari per una vulnerabilità di tipo integer overflow in VMware ESXi. La falla consente esecuzione di codice remoto con privilegi elevati in ambienti di virtualizzazione enterprise, aprendo la strada a compromissioni estese in datacenter e infrastrutture cloud ibride.
Oltre ai prodotti Microsoft e VMware, vulnerabilità sono state dimostrate anche su:
- Red Hat Enterprise Linux, tramite escalation dei privilegi a root sfruttando bug use-after-free;
- Mozilla Firefox, con exploit out-of-bounds scritti da Palo Alto Networks;
- Oracle VirtualBox, usato come vettore di fuga guest-to-host.
Anche nel nuovo segmento AI, la competizione ha visto attacchi riusciti a Redis e Nvidia Triton Inference Server, attraverso catene di vulnerabilità complesse che mettono in evidenza la superficialità della sicurezza nei workload basati su intelligenza artificiale.
Un contesto frammentato e vulnerabile: Microsoft tra patch instabili e minacce zero-day
L’insieme degli eventi di maggio disegna uno scenario di fragilità architetturale in cui patch progettate per proteggere gli utenti finiscono per introdurre comportamenti imprevisti e rischi di blocco dei sistemi. Allo stesso tempo, la dimostrazione pubblica di exploit zero-day evidenzia la distanza tra rilascio di aggiornamenti e correzione effettiva delle falle.
Il problema non è la sola esistenza di vulnerabilità – inevitabile in qualsiasi software complesso – ma la lentezza delle contromisure e la mancanza di comunicazione tempestiva, che porta gli utenti a non sapere quando o come installare gli aggiornamenti senza rischiare l’interruzione dei servizi.
Anche per i vendor, le implicazioni sono pesanti. Microsoft e VMware avranno 90 giorni per rilasciare patch efficaci prima che i dettagli tecnici degli exploit siano resi pubblici da Trend Micro e Zero Day Initiative. Il rischio è che attori malevoli riescano a replicare gli attacchi nel frattempo, accelerando la corsa alla weaponizzazione dei bug.
