Sommario
Microsoft fronteggia nuove problematiche di aggiornamento in Windows 11, mentre AWS e CISA si trovano a gestire vulnerabilità critiche nei servizi cloud e nelle infrastrutture federali. In parallelo, Proofpoint scopre un attacco sofisticato che sfrutta un meccanismo di downgrade contro FIDO su Microsoft Entra ID, sottolineando la fragilità degli standard di autenticazione anche in ambienti enterprise avanzati.
Errori negli aggiornamenti di Windows 11 24H2
Il mese di agosto 2025 si apre con un nuovo errore critico identificato negli aggiornamenti cumulativi della versione Windows 11 24H2, distribuiti tramite KB5063878. Il codice di errore 0x80240069 viene segnalato da numerosi amministratori di sistema, principalmente in ambienti WSUS (Windows Server Update Services). Questo bug impedisce l’installazione automatica degli aggiornamenti e genera interruzioni nel servizio wuauserv, registrate nei log di sistema con terminazioni improvvise. La situazione richiama un problema simile verificatosi ad aprile, che colpì le versioni 22H2 e 23H2 di Windows 11. Allora, Microsoft aveva implementato un Known Issue Rollback per correggere il malfunzionamento, distribuito successivamente tramite import manuale in WSUS. Anche in questo caso, l’azienda consiglia agli utenti di scaricare e applicare manualmente gli aggiornamenti utilizzando gli Update-ID forniti. Il problema sembra derivare da configurazioni WSUS legacy, che compromettono l’affidabilità degli update nei sistemi aziendali. Gli utenti consumer non sono toccati dal problema, che si concentra interamente nel contesto enterprise, generando preoccupazione tra i responsabili IT per l’impatto sulla produttività e sicurezza operativa. Microsoft sta testando soluzioni temporanee in ambienti di staging e raccoglie feedback per rafforzare le validazioni nelle future release. Per fortuna Microsoft ha aggiornato la falla.
Vulnerabilità gravi in AWS EMR Secret Agent
AWS ha individuato una vulnerabilità critica, tracciata come CVE-2025-8904, all’interno del componente EMR Secret Agent, presente nelle versioni dalla 6.10 alla 7.4. Il difetto deriva dal salvataggio non sicuro di file keytab contenenti credenziali Kerberos nella directory /tmp, facilmente accessibile da utenti locali non privilegiati. La vulnerabilità permette escalation di privilegi e mette a rischio la sicurezza dei segreti gestiti in ambienti EMR. Il fix è stato integrato nella versione 7.5, che disabilita l’utilizzo della directory temporanea come staging. AWS fornisce inoltre bootstrap script per mitigare la falla nelle versioni precedenti, insieme a pacchetti RPM correttivi. Questa esposizione evidenzia i rischi delle configurazioni di default in ambienti cloud e la necessità di rafforzare le policy IAM, implementare directory sicure e limitare l’accesso a /tmp. AWS ha pubblicato IOC per l’identificazione di exploit attivi e consiglia agli utenti un aggiornamento urgente dei sistemi vulnerabili.
Aggiornamenti CISA al catalogo KEV: N-central nel mirino
La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto nuove falle al proprio Known Exploited Vulnerabilities Catalog (KEV). Tra queste figurano CVE-2025-8875 e CVE-2025-8876, entrambe riguardanti il software di monitoraggio N-able N-central.
- CVE-2025-8875 N-able N-central Insecure Deserialization Vulnerability
- CVE-2025-8876 N-able N-central Command Injection Vulnerability
La prima sfrutta una deserializzazione insicura per eseguire codice arbitrario, mentre la seconda consente command injection. Le vulnerabilità sono già attivamente sfruttate, con CISA che impone patch immediate per le agenzie federali tramite la BOD 22-01. Anche il settore privato è chiamato a intervenire con urgenza, dato che N-central è ampiamente utilizzato per il monitoraggio delle infrastrutture IT. CISA fornisce indicazioni per auditing, segmentazione delle reti, aggiornamento dei software e gestione dei permessi per mitigare i rischi associati a questi difetti noti.
Attacco di downgrade FIDO contro Microsoft Entra ID
Uno degli sviluppi più preoccupanti arriva da una ricerca di Proofpoint, che ha dimostrato la possibilità di bypassare i meccanismi FIDO2/WebAuthn in Microsoft Entra ID attraverso un attacco di downgrade. Utilizzando il framework Evilginx, i ricercatori hanno creato un phishlet che modifica lo user agent per impersonare Safari su Windows, forzando Entra ID a disattivare FIDO e a ricadere su metodi di autenticazione meno sicuri, come Microsoft Authenticator o OTP via SMS. Questo permette a un attacco AiTM (Adversary-in-the-Middle) di intercettare credenziali MFA e rubare i cookie di sessione, consentendo session hijacking persistente. Microsoft non ha ancora rilasciato un fix ufficiale, ma Proofpoint consiglia di disabilitare i fallback di autenticazione, rafforzare le policy MFA e monitorare gli user agent per attività sospette. Il rischio è acuito dal fatto che molte organizzazioni non validano correttamente lo user agent, rendendo il downgrade un vettore d’attacco plausibile e riproducibile. Proofpoint ha condiviso gli indicatori di compromissione (IOC) del phishlet per agevolare le attività di detection e risposta da parte delle aziende.
Strategie di mitigazione coordinate
Le vulnerabilità e i malfunzionamenti segnalati questa settimana delineano un panorama dove minacce multiple si intrecciano in contesti ibridi tra on-premise e cloud. Le organizzazioni più strutturate stanno adottando strategie coordinate di remediation:
- Microsoft consiglia workaround manuali per il bug 0x80240069 in WSUS;
- AWS impone l’upgrade a EMR 7.5 e fornisce patch mirate;
- CISA richiede patch immediati su N-central per tutti gli enti federali;
- Proofpoint invita a disabilitare fallback su Entra ID e a rafforzare le difese contro AiTM.
In parallelo, molte imprese stanno introducendo training anti-phishing, audit sui log di accesso, monitoraggio di traffico sospetto, e simulazioni mirate per riconoscere tentativi di downgrade o spoofing. L’adozione di firewall avanzati, segmentazione della rete, backup verificati e politiche di least privilege completano l’approccio difensivo. Le falle identificate, pur in contesti diversi, condividono un denominatore comune: superfici d’attacco note che continuano a essere trascurate, dal fallback SMS all’uso di directory temporanee non protette. Ciò sottolinea l’urgenza di una security posture proattiva, che includa detection, hardening e aggiornamenti frequenti. Solo un intervento sinergico tra vendor, agenzie e imprese può contenere un’escalation tecnica e normativa ormai inarrestabile.
