Sommario
Una combinazione di vulnerabilità software e problematiche operative ha scosso l’ecosistema IT nelle ultime ore. Il driver kernel del tool ASUS Armoury Crate espone milioni di utenti a rischi di escalation dei privilegi su Windows, mentre la CISA ha aggiornato il suo catalogo delle vulnerabilità note aggiungendo due CVE attivamente sfruttate, e Microsoft ha dovuto rilasciare un workaround d’urgenza per impedire i crash di Classic Outlook all’apertura di nuovi messaggi. Tre episodi distinti ma accomunati dalla criticità che impongono risposte rapide da parte degli amministratori di sistema.
Grave vulnerabilità in ASUS Armoury Crate: escalation a privilegi SYSTEM
Nel componente kernel AsIO3.sys, incluso nel software ASUS Armoury Crate, è stata scoperta una falla di sicurezza (CVE-2025-3464) che consente l’esecuzione di codice con privilegi di amministratore. Il meccanismo di verifica usato dal driver si basa su un hash SHA-256 hardcoded e su un controllo del PID del processo chiamante, evitando qualsiasi validazione attraverso i normali meccanismi del sistema operativo. Questo consente a un utente locale di manipolare la comunicazione con il driver e ottenere accesso a livello SYSTEM, massimo privilegio disponibile in Windows.
Secondo Unicorn Talos, il bug riceve un punteggio di 8,8/10 nel CVSS, rendendolo una delle vulnerabilità locali più pericolose attualmente note su ambienti ASUS non aggiornati. Gli esperti consigliano la rimozione immediata del software o, almeno, il suo aggiornamento, in particolare negli ambienti aziendali e critici dove il rischio di attacchi da parte di utenti interni o malware già installati è elevato.
Aggiornamento KEV: due nuove vulnerabilità sfruttate attivamente
Il 16 giugno 2025, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il suo catalogo Known Exploited Vulnerabilities (KEV), obbligando tutte le agenzie federali USA a porre rimedio a due falle documentate: la CVE‑2025‑43200, una vulnerabilità ancora non descritta pubblicamente che coinvolge dispositivi Apple, e la CVE‑2023‑33538, una falla nei router TP-Link che consente esecuzione remota di comandi.
- CVE-2025-43200 Apple Multiple Products Unspecified Vulnerability
- CVE-2023-33538 TP-Link Multiple Routers Command Injection Vulnerability
L’inserimento in KEV significa che queste vulnerabilità sono già oggetto di attacchi attivi e che, secondo la direttiva BOD 22‑01, vanno corrette entro scadenze ravvicinate. Le organizzazioni non federali, pur non vincolate, sono invitate a trattare queste CVE con la stessa urgenza. In particolare, la vulnerabilità TP-Link risulta critica per reti domestiche e aziendali poco monitorate, mentre quella su Apple potrebbe impattare dispositivi iOS e macOS in modo trasversale.
Crash in Classic Outlook: Microsoft propone soluzione temporanea
Diversi utenti del canale mensile enterprise di Microsoft 365 hanno riscontrato crash immediati in Classic Outlook, in particolare nel momento in cui cercano di aprire o comporre nuovi messaggi. La causa è attribuita alla mancata individuazione della Forms Library da parte dell’applicazione. Microsoft ha proposto una soluzione temporanea, suggerendo di creare manualmente la cartella FORMS2 nella directory %localappdata%\Microsoft, evitando così il malfunzionamento.
Un ulteriore problema è stato rilevato su versioni successive (2505) che causano crash legati alle cartelle condivise; in questo caso, la disattivazione della cache locale si è rivelata una soluzione palliativa, ma con impatti negativi sulle prestazioni e sull’esperienza utente. Le organizzazioni IT sono quindi chiamate a intervenire tempestivamente, distribuendo script automatizzati per ricreare la struttura delle cartelle o applicare policy centralizzate per gestire le eccezioni.
Implicazioni per la sicurezza aziendale
I tre casi illustrano la complessità crescente nel mantenimento della sicurezza su infrastrutture eterogenee. La vulnerabilità di ASUS rappresenta un rischio serio per ogni endpoint non isolato, specialmente se impiegato in ambienti BYOD o in contesti ibridi. Le due CVE aggiunte da CISA segnalano che anche dispositivi non enterprise possono costituire punti di ingresso critici per aggressori sofisticati. I crash di Outlook, sebbene non derivanti da minacce esterne, impongono un impegno di troubleshooting e assistenza per evitare interruzioni operative in ambienti Microsoft-centrici.
La risposta tecnica raccomandata prevede patching accelerato, disinstallazioni precauzionali, automazione nelle modifiche locali (come nel caso Outlook) e l’integrazione di feed KEV nei processi di gestione del rischio. Non solo gli attacchi zero-day, ma anche i problemi operativi e gli errori di configurazione si stanno dimostrando elementi destabilizzanti per le architetture digitali aziendali.
Nel caso ASUS, l’eliminazione dell’uso di hash hardcoded per la validazione e il ritorno ai meccanismi di controllo accessi del sistema operativo è cruciale. Le organizzazioni devono considerare l’adozione di app whitelisting e monitoraggio kernel-level per ridurre la superficie d’attacco. Le vulnerabilità del catalogo CISA vanno integrate nei tool di scansione e nei cicli DevSecOps. Per Outlook, finché Microsoft non rilascerà una patch definitiva, i team IT devono automatizzare il workaround per evitare downtime e ticket a cascata.
