Microsoft ha recentemente corretto una vulnerabilità critica in Entra ID classificata con CVSS 10.0, introdotto nuove contromisure contro tecniche di evasione della sicurezza come EDR-Freeze e rimosso alcuni blocchi di compatibilità da Windows 11 24H2. Questi interventi sottolineano la necessità di aggiornamenti rapidi e costanti in un contesto di minacce cyber in rapida evoluzione, ma anche l’impegno dell’azienda nel garantire maggiore stabilità agli utenti.
Cosa leggere
Vulnerabilità critica in Entra ID
Il difetto più grave riguarda Entra ID, dove un errore di validazione nei token di servizio permetteva di impersonare amministratori globali attraverso tenant diversi. Scoperta il 14 luglio 2025 e corretta pochi giorni dopo, la falla sfruttava l’API legacy Azure AD Graph (graph.windows.net), ormai deprecata ma ancora attiva su numerose implementazioni. Gli attaccanti avrebbero potuto accedere a dati sensibili, chiavi BitLocker e servizi come SharePoint Online ed Exchange Online, bypassando autenticazione multi-fattore e policy di Conditional Access senza lasciare tracce nei log. Microsoft ha distribuito una patch automatica senza richiedere azioni da parte degli utenti e ha confermato che non risultano evidenze di exploit attivi. L’API coinvolta verrà definitivamente ritirata il 31 agosto 2025, con la migrazione forzata a Microsoft Graph, già annunciata dal 2019. La chiusura anticipata di questa vulnerabilità dimostra come le componenti legacy restino un punto debole nelle infrastrutture cloud.
EDR-Freeze: nuova tecnica di evasione
Parallelamente, ricercatori di sicurezza hanno pubblicato EDR-Freeze, un proof-of-concept che sfrutta il sistema Windows Error Reporting (WER) per sospendere indefinitamente processi EDR e antivirus. La tecnica non utilizza driver vulnerabili né exploit kernel, ma abusa delle API legittime come MiniDumpWriteDump, bloccando strumenti di difesa in uno stato di “coma” persistente. Test condotti su Windows 11 24H2 dimostrano l’efficacia del metodo contro Windows Defender, evidenziando una debolezza di design più che una vulnerabilità specifica. Microsoft ha già annunciato indagini interne per introdurre restrizioni sull’uso anomalo di WER e mitigare potenziali abusi.
Fix per Windows 11 24H2
Microsoft ha anche rimosso il blocco di compatibilità che impediva l’installazione di Windows 11 24H2 su dispositivi con riconoscimento facciale. Il bug causava congelamenti in applicazioni come Camera e Windows Hello, ora corretti. Gli utenti possono procedere con l’aggiornamento tramite Windows Update, con rollout graduale entro 48 ore. Rimangono invece hold attivi su driver audio e software di terze parti che provocano crash o BSOD, in attesa di ulteriori fix.
Problemi DRM in aggiornamenti recenti
Alcuni update cumulativi di agosto 2025 hanno introdotto malfunzionamenti nel playback video DRM, con schermi neri e blocchi durante lo streaming di contenuti protetti. Microsoft ha riconosciuto il problema e sta sviluppando un correttivo. Nel frattempo, consiglia agli utenti di installare gli aggiornamenti di anteprima per mitigare i disservizi in applicazioni multimediali e piattaforme di streaming.
Un ecosistema sotto pressione
Questi sviluppi dimostrano come Microsoft sia chiamata a bilanciare due esigenze fondamentali: rispondere a minacce cyber sempre più avanzate e mantenere la stabilità di Windows come piattaforma consumer ed enterprise. La vulnerabilità Entra ID richiama l’urgenza di dismettere tecnologie obsolete, mentre il caso EDR-Freeze evidenzia come perfino i meccanismi interni del sistema operativo possano trasformarsi in vettori di attacco.
