Sommario
Settembre 2025 registra una svolta per l’ecosistema Windows: Microsoft elimina le commissioni per gli sviluppatori individuali sul Microsoft Store e rilascia patch che risolvono lag e stuttering nei flussi NDI su Windows 11 e Windows 10. In parallelo, il panorama della sicurezza resta teso: la campagna fileless di AsyncRAT sfrutta ScreenConnect per esfiltrare credenziali, il ransomware Akira abusa di vulnerabilità su SonicWall per colpire reti enterprise, e Cisco corregge tre falle in IOS XR che includono bypass ACL e DoS da ARP storm. Questo quadro bilancia opportunità concrete per creator e team IT con l’urgenza di rafforzare EDR, patch management e zero trust per neutralizzare minacce in rapida evoluzione.
Microsoft apre il Microsoft Store: fee azzerate, onboarding semplificato
Microsoft rimuove le fee di registrazione per i developer individuali, consentendo la pubblicazione di app Win32, UWP, PWA, .NET MAUI ed Electron senza costi di ingresso e senza carta di credito. La nuova policy è attiva in quasi 200 mercati e semplifica l’accesso al canale di distribuzione con hosting e signing gestiti, aggiornamenti automatici e supporto per modelli di pagamento in-app non gaming che consentono ai creatori di trattenere il 100% dei ricavi. La mossa, evidenziata anche dal team prodotto guidato da Chetna Das, punta a rimuovere ostacoli storici per gli indie e ad allineare lo Store agli standard di inclusività e scala dell’ecosistema Windows, che dichiara oltre 250 milioni di utenti attivi mensili. Gli analisti leggono il passo come un segnale competitivo verso gli store mobile, con barriere economiche minimizzate e tempi di pubblicazione ridotti.
Patch Windows: fix per NDI su 11 e 10, con KB5065426 e KB5065429
Dopo i problemi di agosto con gli aggiornamenti KB5063878 (Windows 11 24H2) e KB5063709 (Windows 10 21H2/22H2), Microsoft risolve lag, stuttering e audio/video choppy su stack NDI rilasciando KB5065426 per Windows 11 e KB5065429 per Windows 10. Il bug colpiva soprattutto flussi basati su RUDP, con impatto su OBS e NDI Tools; la correzione è ora marcata come Resolved nelle pagine Release Health. La collaborazione con il team NDI ha fornito un workaround temporaneo basato su Single TCP o UDP in Access Manager, utile fino alla disponibilità delle patch cumulative di settembre. L’episodio sottolinea l’importanza di cicli di test su componenti real-time sensibili alla latenza, con indicazioni per ambienti di broadcast e produzione che richiedono aggiornamenti scaglionati e piani di rollback.
AsyncRAT fileless in APAC: accesso iniziale via ScreenConnect e living-off-the-land
La nuova ondata di AsyncRAT adotta una catena fileless che sfrutta ConnectWise ScreenConnect per l’accesso iniziale, con loader in memoria, offuscamento, abuso di PowerShell e uso di hook per keylogging e furto di segreti (inclusi wallet crypto). Il C2 impiega protocolli legittimi e serializzazioni compatte per ridurre la firma di rete, mentre la persistenza si appoggia a task pianificati e modifica di componenti di logging. Le organizzazioni colpite in APAC registrano esfiltrazioni rapide di credenziali e dati sensibili, con indicatori che includono domini duckdns e artefatti in Public tipici della campagna. Le difese efficaci combinano EDR comportamentale, blocco di domini C2, controllo rigoroso su RMM di terze parti e XDR per correlare sequenze come WScript→PowerShell→in-memory load.
Akira e i device SonicWall: initial access e doppia estorsione
Il gruppo Akira intensifica l’uso dei device SonicWall come punto di ingresso, con attività osservate in crescita tra luglio e settembre 2025. Il vettore include vulnerabilità storiche su SSLVPN e casi di improper access control sanati da SonicWall ma ancora sfruttati su sistemi non aggiornati o con account migrati e password invariata. La sequenza tipica prevede VPN access, movimento laterale, exfiltration su larga scala e crittografia con double extortion; settori USA ed UE riportano interruzioni prolungate e richieste di riscatto elevate. Le raccomandazioni includono upgrade a release fixate, hardening della management interface, controlli di log per tentativi di injection e verifica delle policy VPN per impedire abuso di credenziali.
Cisco IOS XR: tre falle da gestire subito tra bypass ACL, image verification e ARP storm
Cisco pubblica un pacchetto di advisory su IOS XR che dettaglia tre vulnerabilità: CVE-2025-20159 (bypass della ACL sull’interfaccia di management), CVE-2025-20248 (bypass della verifica delle immagini software) e CVE-2025-20340 (DoS da ARP broadcast storm sul piano di management). Gli impatti includono accessi non autorizzati, tampering del software e indisponibilità del dispositivo in caso di traffico ARP sostenuto. Cisco raccomanda aggiornamenti immediati alle versioni fixate e non propone workaround stabili, indicando misure temporanee solo in contesti controllati. Per gli operatori di rete, il rischio si concentra sul management plane: servono segregazione, rate-limit e monitoraggio di control-plane policing per prevenire congestioni e flap del routing durante tentativi di sfruttamento.
Impatto per developer e imprese: produttività, fiducia e postura di sicurezza
L’abolizione delle fee abbassa la soglia d’ingresso per creator e micro-ISV, favorendo una pipeline di pubblicazione più inclusiva e tempi di time-to-market ridotti. La possibilità di usare pagamenti in-app personalizzati per contenuti non gaming e il signing centralizzato aumentano la fiducia dell’utenza, soprattutto in contesti enterprise dove la catena di provenienza e la distribuzione controllata costituiscono requisiti di adozione. La sistemazione del bug NDI ripristina stabilità per broadcaster e creator video, con riduzione del downtime e rischi minori nelle produzioni live che richiedono latenze prevedibili. Sul versante minacce, il ritorno di fiamma di AsyncRAT e la persistenza di Akira confermano che lo shift-left e l’automazione non bastano senza governance identity-centric, segmentazione e telemetria profonda; gli advisory Cisco impongono alle telco e ai grandi operatori interventi sul management plane per blindare i nodi core.
Roadmap di mitigazione: identità, patch e osservabilità
Le organizzazioni che intendono sfruttare il nuovo Microsoft Store senza esporre la supply chain dovrebbero consolidare codice firmato, SBOM e controlli DevSecOps lungo la pipeline, integrando scansioni automatizzate e policy OWASP per segreti, SSRF e gestione delle dipendenze. Sui sistemi Windows, l’installazione tempestiva di KB5065426 e KB5065429 chiude l’incidente NDI e allinea i device a un baseline sicuro. La difesa contro AsyncRAT richiede MFA ovunque, revisione degli RMM consentiti, AppLocker/WDAC per frenare esecuzioni anomale, EDR con regole su PowerShell e process injection, oltre a blocchi DNS e C2 noti. Per Akira, occorrono upgrade di firmware SonicWall, rotazione forzata delle credenziali migrate, controllo delle policy SSLVPN e raccolta forense dei log per individuare pivot non autorizzati. In ambito IOS XR, la priorità è aggiornare a build fixate e rafforzare CoPP, rate-limiting ARP e segregazione del management fuori dai VRF di produzione.
Prospettive 2025–2026: ecosistema Windows più aperto, minacce più agili
La rimozione delle barriere economiche sullo Store compatta la community e incentiva nuove submission, con effetti attesi su qualità e diversità dell’offerta. La correzione dello stack NDI segnala una maggiore attenzione a workflow media a bassa latenza, un’area in cui Windows ambisce a essere piattaforma preferenziale per creatori e media house. Dall’altra parte, l’offensiva resta dinamica: tool fileless come AsyncRAT accelerano, gruppi come Akira spingono su entry point perimetrali, e i vendor di rete devono chiudere rapidamente falle su componenti core come IOS XR, pena interruzioni su larga scala. La traiettoria suggerisce automatismi difensivi più spinti (da XDR a playbook SOAR) e una convergenza tra policy e telemetria per decisioni near-real-time su piani data e control.
Architetture allineate tra distribuzione, media stack e perimetro
L’equilibrio del trimestre passa da tre pilastri. Nel canale di distribuzione, lo Store con signing e hosting gestiti riduce l’attrito per i creator e, se abbinato a policy di pubblicazione e review automatizzate, diminuisce il rischio supply chain senza frenare la velocità. Nel media stack, il ripristino della qualità NDI tramite KB5065426 e KB5065429 dimostra che le correzioni su networking e scheduler incidono direttamente su throughput e jitters, con ricadute immediate per broadcast e streaming professionale. Sul perimetro, il contrasto a AsyncRAT e Akira e la chiusura delle falle IOS XR convergono su una stessa ricetta: identità forti, patch veloci, segmentazione netta del management plane e osservabilità che correla endpoint, rete e cloud per interrompere la catena avversaria prima di exfiltration e impatti di disponibilità. In sintesi, l’ecosistema Windows guadagna apertura e stabilità, a patto che le imprese adottino un ciclo di difesa che unisce governance, automazione e disciplina operativa.
