Vulnerabilità

Microsoft corregge 67 vulnerabilità critiche, incluso uno zero-day attivamente sfruttato

di Livio Varriale
scritto da Livio Varriale 0 commenti 7 minuti di lettura

Microsoft ha rilasciato il consueto aggiornamento cumulativo del mese di giugno 2025 risolvendo 67 vulnerabilità nei propri prodotti, tra cui una falla di tipo zero-day attivamente sfruttata, identificata come CVE-2025-30585. La vulnerabilità risiede nel motore MSHTML, componente ancora presente in molte applicazioni legacy, nonostante l’abbandono di Internet Explorer come browser predefinito. L’exploit consente l’esecuzione di codice arbitrario remoto tramite l’apertura di contenuti HTML malevoli e rappresenta un rischio elevato per tutti i sistemi non aggiornati.

La falla zero-day è stata segnalata da più partner di threat intelligence dopo la scoperta di exploit attivi in the wild. Microsoft ha confermato che il codice malevolo sfrutta documenti HTML distribuiti tramite phishing o file eseguibili, camuffati da risorse legittime. La società raccomanda l’installazione immediata degli aggiornamenti di sicurezza da parte di amministratori di rete e utenti finali, in particolare in contesti aziendali ad alta esposizione.

Novità negli aggiornamenti cumulativi di Windows 11

Gli aggiornamenti cumulativi per Windows 11 portano miglioramenti significativi, in particolare nelle build KB5060842 e KB5060999, distribuite rispettivamente per le versioni 23H2 e 21H2. Le modifiche più rilevanti includono miglioramenti alla stabilità grafica per dispositivi dotati di più GPU, ottimizzazioni alla ricerca interna del sistema e correzioni a bug che causavano blocchi del sistema durante la gestione di più sessioni utente. Inoltre, Microsoft ha lavorato alla stabilizzazione dell’interfaccia utente, con correzioni per comportamenti anomali della taskbar e dell’integrazione con il sistema di notifiche.

La build KB5060999 interviene anche sulla gestione del DNS locale, migliorando le prestazioni del servizio in ambienti enterprise. Sono state risolte anomalie nel sistema di gestione dei certificati, che in alcuni casi impedivano l’autenticazione di dispositivi remoti. Le patch contribuiscono anche a rafforzare la resilienza del sistema in scenari BYOD, sempre più diffusi dopo l’integrazione con Azure AD.

Miglioramenti per Windows 10 e interventi sulla retrocompatibilità

Anche Windows 10 riceve una serie di aggiornamenti con la build KB5060533, destinata alle versioni 22H2 ancora ampiamente in uso in ambito professionale. I miglioramenti includono la risoluzione di sette bug documentati, tra cui un problema di crash durante il login automatico, l’impossibilità di cambiare utente su alcuni dispositivi aziendali e un bug nel servizio Windows Management Instrumentation (WMI). Questo aggiornamento migliora la compatibilità con periferiche meno recenti, assicurando la continuità d’uso anche su sistemi hardware non aggiornati a Windows 11.

La build introduce inoltre un meccanismo di fallback migliorato per le Group Policy, riducendo il rischio di interruzioni nella gestione centralizzata dei dispositivi in ambienti Active Directory. In ambienti distribuiti, l’aggiornamento corregge problemi nei sistemi con configurazioni dual-stack IPv4/IPv6, particolarmente critici nelle architetture cloud ibride.

Outlook blocca nuovi tipi di allegati per rafforzare la sicurezza

Microsoft ha annunciato una modifica significativa al comportamento di Outlook, il client di posta incluso nella suite Microsoft 365. A partire dagli aggiornamenti di giugno, Outlook bloccherà nuovi formati di file notoriamente utilizzati per la diffusione di malware. Tra questi figurano estensioni relative a linguaggi di scripting, file batch, macro e archivi eseguibili personalizzati. Secondo il team di sicurezza di Microsoft, tali estensioni sono frequentemente impiegate in campagne di phishing e social engineering, soprattutto in allegati distribuiti tramite mailing list compromesse.

Il blocco si applicherà solo alle versioni supportate del client Outlook e sarà progressivamente implementato con gli aggiornamenti cumulativi delle prossime settimane. Microsoft chiarisce che i file già presenti nelle caselle di posta non saranno eliminati, ma verranno contrassegnati come potenzialmente pericolosi all’apertura.

Risolti problemi critici nei controller di dominio Windows Server

Microsoft ha anche corretto una grave anomalia nei controller di dominio Windows Server, introdotta con le patch di aprile. Il problema riguardava l’impossibilità per alcuni sistemi di autenticarsi correttamente con i server Active Directory, bloccando l’accesso a servizi essenziali come login, condivisione file e policy di gruppo. Il malfunzionamento ha colpito principalmente ambienti misti, dove Windows Server coesiste con container, servizi cloud o appliance di autenticazione federata.

Con gli aggiornamenti rilasciati nel Patch Tuesday di giugno, Microsoft ha ripristinato la funzionalità di autenticazione, correggendo la gestione delle credenziali Kerberos e il comportamento errato dei token di sessione. I fix sono inclusi sia nelle build KB5060842 e KB5060999 per Windows 11, sia nelle versioni server equivalenti. In ambienti aziendali complessi, l’anomalia aveva causato interruzioni nei processi di provisioning automatizzato, criticità ora rientrate secondo i report ufficiali.

Vulnerabilità risolte: focus su Hyper-V, gestione della memoria e sicurezza kernel

Il pacchetto di aggiornamenti del mese di giugno 2025 include fix per numerose vulnerabilità critiche nei componenti di basso livello del sistema operativo Windows, con particolare attenzione ai moduli Hyper-V, Win32k.sys, e il kernel NTOS. Almeno seventeen vulnerabilità classificate “Remote Code Execution” (RCE) sono state corrette, la maggior parte delle quali affliggeva Hyper-V, evidenziando ancora una volta i rischi associati alla virtualizzazione.

Uno dei bug più significativi, CVE-2025-30104, poteva consentire a un utente autenticato in una macchina virtuale guest di eseguire codice arbitrario sull’host Hyper-V, bypassando l’isolamento previsto. Microsoft ha classificato questa vulnerabilità come “Exploitation More Likely”, suggerendo che un exploit potrebbe già esistere in circolazione privata. Gli ambienti cloud e datacenter sono i più esposti, in particolare quelli che ospitano tenant multipli.

Il modulo Win32k.sys, invece, ha ricevuto diverse correzioni relative a privilege escalation, vulnerabilità tipicamente sfruttate in catene di attacco multi-fase. Il bug CVE-2025-31709, per esempio, permette a un’applicazione in esecuzione con privilegi standard di ottenere accesso privilegiato al sistema, rappresentando un vettore ideale per ransomware e spyware sofisticati.

Microsoft ha anche rafforzato la sicurezza del sottosistema grafico DirectComposition, correggendo CVE-2025-31123, che poteva portare al danneggiamento della memoria video e, potenzialmente, all’esecuzione di codice tramite payload DMA su GPU non protette.

Strategie di mitigazione e analisi comportamentale

Accanto ai fix tecnici, Microsoft ha introdotto miglioramenti nel motore di controllo comportamentale Defender, implementando firme dinamiche in grado di identificare pattern di attacco complessi basati su esecuzione simultanea di processi sospetti, iniezioni di codice e manipolazioni del registro di sistema.

Gli aggiornamenti recenti hanno anche affinato il modulo Attack Surface Reduction (ASR), con nuove regole che bloccano:

  • tentativi di esecuzione di payload offuscati tramite WMI o PowerShell
  • caricamento anomalo di librerie DLL non firmate
  • modifiche non autorizzate a chiavi di avvio automatico

Queste nuove regole si applicano a Microsoft Defender for Endpoint e sono parte di una strategia più ampia che mira a ridurre i vettori di attacco anche quando le patch non sono ancora applicate, fornendo così una forma di mitigazione temporanea in ambienti ad alto rischio.

L’evoluzione della postura di sicurezza: Outlook e Office

Come ulteriore misura preventiva, Microsoft ha deciso di rafforzare il comportamento dei suoi strumenti di produttività. Oltre al blocco di nuovi formati di file in Outlook, sono stati modificati i comportamenti predefiniti di apertura dei documenti Office in ambienti condivisi. A partire da questo mese, Word, Excel e PowerPoint bloccheranno macros e script contenuti in file provenienti da fonti non attendibili, anche se salvati localmente, seguendo lo stesso principio già adottato per i file provenienti da Internet.

Nel dettaglio, le applicazioni Office ora mantengono uno storico dell’origine del file, sfruttando tag di metadati presenti nel filesystem NTFS. Qualsiasi documento che non presenta un hash corrispondente a fonti sicure verificate sarà automaticamente aperto in modalità “Protected View”, con esecuzione di codice disabilitata.

Stato delle patch e rollout globale

Gli aggiornamenti sono già disponibili tramite Windows Update, WSUS (Windows Server Update Services), e Microsoft Update Catalog. I sistemi non gestiti riceveranno automaticamente le patch a partire dal 12 giugno, salvo modifiche alle policy di aggiornamento. I report preliminari di installazione indicano una bassa incidenza di problemi post-patch, anche in ambienti enterprise con soluzioni di sicurezza personalizzate.

Microsoft ha aggiornato le proprie best practice di aggiornamento, consigliando l’uso combinato di rollback controllato tramite Windows Update for Business e il monitoraggio con strumenti come Endpoint Analytics. I report aggiornati suggeriscono che già oltre il 54% dei dispositivi gestiti ha applicato almeno parte degli aggiornamenti rilasciati.

Con il Patch Tuesday di giugno 2025, Microsoft conferma la direzione intrapresa verso un rafforzamento della postura difensiva su più livelli. I fix rilasciati non solo affrontano vulnerabilità ad alta gravità, ma introducono strategie comportamentali e meccanismi di prevenzione proattiva che rafforzano l’intera catena di sicurezza. L’attenzione verso moduli legacy come MSHTML, la protezione della virtualizzazione in Hyper-V, e l’integrazione di filtri dinamici in Outlook e Office mostrano l’intenzione di anticipare l’evoluzione delle minacce anziché reagire a posteriori.

Per gli amministratori di sistema e i team di sicurezza, il mese di giugno rappresenta un punto di svolta che richiede test accurati delle patch, aggiornamenti della documentazione interna, e una revisione delle politiche di whitelisting nei propri ambienti di sicurezza gestita.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Articoli correlati

Falle critiche nei sistemi di sicurezza: Trend Micro...

GitLab, ConnectWise, Microsoft e AI sotto osservazione per...

Attacchi ultrasonici e campagne ATO su larga scala:...

Vulnerabilità zero-click, attacchi zero-day affliggono Microsoft e Apache...

GPS vulnerabili, falle Adobe, configurazioni cloud errate e...

CISA aggiunge 3 vulnerabilità sfruttate: Roundcube, Erlang SSH...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope