Microsoft rilascia il Patch Tuesday di novembre 2025, un aggiornamento mensile di sicurezza che risolve 63 vulnerabilità nei prodotti Windows e una zero-day attivamente sfruttata in ambiente reale. L’azienda interviene su un’ampia gamma di componenti, tra cui Microsoft Office, SQL Server, Azure AI Toolkit, Azure Stack, .NET, SharePoint, Visual Studio e vari servizi del sistema operativo. La release include anche aggiornamenti cumulativi per Windows 11 e il primo pacchetto ESU (Extended Security Update) per Windows 10, assicurando copertura a milioni di dispositivi dopo la fine del supporto ufficiale.
Cosa leggere
Zero-day CVE-2025-43589 e vulnerabilità critiche
La falla più grave del mese è CVE-2025-43589, una elevation of privilege in Windows AppLocker, sfruttata attivamente per aggirare i blocchi applicativi imposti dalle policy aziendali. Questa vulnerabilità interessa Windows 10, Windows 11 e Windows Server dal 2016 al 2025, e ottiene un punteggio CVSS di 7,8. Secondo Talos Intelligence, l’exploit consente a un utente malintenzionato di eseguire software non autorizzato eludendo i controlli di sicurezza. Microsoft conferma attività malevole in corso e raccomanda l’installazione immediata delle patch per prevenire escalation di privilegi locali. Tra le dodici vulnerabilità classificate come critiche, emergono le due di Microsoft Office, CVE-2025-43584 e CVE-2025-43585, che permettono esecuzione di codice remoto mediante documenti malformati. La prima interessa i file di Word e PowerPoint, la seconda coinvolge Microsoft Excel e richiede interazione dell’utente per l’apertura di allegati compromessi. Entrambe derivano da un parsing errato delle strutture dati e possono essere sfruttate per ottenere l’accesso non autorizzato ai sistemi. Nel comparto sviluppo, CVE-2025-43599 in Visual Studio consente l’esecuzione di codice remoto attraverso pacchetti manipolati, rappresentando un rischio per gli sviluppatori che installano estensioni di terze parti. Le vulnerabilità CVE-2025-43596 e CVE-2025-43598 impattano rispettivamente .NET e Azure Stack Hub, consentendo escalation di privilegi locali o cloud con punteggi fino a 8,8 CVSS, mentre CVE-2025-43605 in Azure AI Toolkit apre la strada a possibili abusi nei tool di intelligenza artificiale.
Aggiornamenti cumulativi per Windows 11
Microsoft distribuisce i pacchetti KB5068861 per Windows 11 24H2 e KB5068865 per Windows 11 23H2 e 22H2, entrambi contenenti fix cumulativi e miglioramenti di stabilità. Il primo update corregge un problema che causava la scomparsa della barra delle applicazioni in modalità tablet e risolve errori di Esplora file durante la navigazione. Gli utenti segnalavano instabilità dopo aggiornamenti precedenti, ora sanate con la nuova build. Il secondo pacchetto, KB5068865, corregge malfunzionamenti nelle stampanti e ottimizza le prestazioni delle app legacy. Entrambi i pacchetti includono la patch per la zero-day CVE-2025-43589, assicurando protezione immediata per i sistemi aggiornati. Microsoft raccomanda il riavvio del dispositivo dopo l’installazione e conferma la disponibilità via Windows Update o download manuale dal portale ufficiale. Le dimensioni del pacchetto variano tra 400 e 500 MB, a seconda dell’edizione del sistema operativo.
Supporto esteso per Windows 10 tramite ESU
Parallelamente, Microsoft avvia la distribuzione di KB5068781, il primo aggiornamento di sicurezza nell’ambito del programma Extended Security Update (ESU) per Windows 10. Dopo la fine del supporto ufficiale, l’azienda offre patch critiche a un costo di 28 euro all’anno per dispositivo, garantendo copertura fino al 2028. Il pacchetto corregge vulnerabilità nel kernel di Windows simili a quelle affrontate nel Patch Tuesday principale, mantenendo la protezione dei sistemi legacy ancora in uso in ambito aziendale e pubblico. Microsoft ha rilasciato anche un update d’emergenza per risolvere un bug che impediva l’attivazione del servizio ESU su alcuni dispositivi. Una volta installata la patch correttiva, gli utenti possono verificare lo stato di attivazione nelle impostazioni di sistema. Il programma ESU prevede sconti volume per le imprese e rappresenta una soluzione temporanea per chi non può ancora migrare a Windows 11. La casa di Redmond fornisce inoltre una guida passo-passo per l’iscrizione e l’attivazione tramite portale dedicato.
Fine del supporto per Windows 11 23H2
Il ciclo di aggiornamenti di novembre segna anche la fine del supporto per Windows 11 23H2 nelle edizioni Home e Pro, che non riceveranno più patch di sicurezza. Microsoft invita gli utenti ad aggiornare alla versione 24H2, forzando automaticamente l’upgrade sui dispositivi compatibili. Chi sceglie di rimandare l’aggiornamento rischia vulnerabilità non mitigate e problemi di compatibilità con le nuove applicazioni. Le edizioni Enterprise e Education continueranno a ricevere aggiornamenti fino a ottobre 2026, ma la transizione verso la 24H2 diventa cruciale per garantire stabilità e accesso alle nuove funzioni del sistema operativo, tra cui SFI (Secure Fabric Isolation) e Hotpatching. Microsoft consiglia agli utenti di effettuare un backup completo prima dell’upgrade per prevenire perdite di dati e di utilizzare gli strumenti di compatibilità hardware per una migrazione senza interruzioni.
Patch e mitigazioni nel kernel di Windows
Oltre alle vulnerabilità già menzionate, l’aggiornamento di novembre affronta una lunga serie di flaw nel Windows Kernel, che spaziano dalla gestione dei driver di periferica alla virtualizzazione e all’esecuzione di codice a livello kernel. Ogni vulnerabilità, da CVE-2025-43587 a CVE-2025-43652, presenta un punteggio CVSS medio di 7,8, indicando un rischio elevato di escalation di privilegi locali. Queste patch migliorano la gestione della memoria e la convalida degli handle di sistema, riducendo il rischio di corruzione dati e crash. Gli exploit di questo tipo sono spesso utilizzati da malware e rootkit per ottenere controllo persistente sui dispositivi. Gli aggiornamenti sono già inclusi nei pacchetti cumulativi di Windows 10 e 11 e nelle versioni Server, con priorità alta per gli amministratori IT.
Sicurezza cloud e strumenti di sviluppo
Sul fronte cloud, Azure Stack Hub e Azure AI Toolkit ricevono patch per escalation di privilegi e abusi dei container di esecuzione. Questi fix rafforzano la sicurezza degli ambienti ibridi e mitigano i rischi per i servizi distribuiti in produzione. Nel settore sviluppo, Microsoft aggiorna Visual Studio e .NET Framework, eliminando vulnerabilità che potevano permettere l’esecuzione di codice non firmato. In particolare, CVE-2025-43599 e CVE-2025-43596 correggono falle che potevano essere sfruttate durante la fase di build o installazione di pacchetti NuGet, un vettore comune per gli attacchi supply chain. Gli aggiornamenti mirano a rafforzare la sicurezza del ciclo di sviluppo, in linea con le politiche di secure-by-design introdotte da Redmond nel 2024.
Impatto operativo e raccomandazioni
Il Patch Tuesday di novembre 2025 evidenzia l’impegno di Microsoft nel rafforzare la superficie di difesa integrata dei propri sistemi, combinando patch per ambienti legacy, aggiornamenti cumulativi e mitigazioni cloud-native. Gli amministratori sono invitati a verificare la corretta applicazione delle patch tramite Windows Update for Business o WSUS, assicurando la conformità agli standard di sicurezza. Gli utenti domestici e aziendali devono completare gli aggiornamenti entro pochi giorni dall’uscita per ridurre il rischio di attacchi exploit-based, in particolare nel caso della zero-day CVE-2025-43589, già in uso in campagne mirate. Microsoft monitora costantemente il feedback della community e promette ulteriori fix incrementali nei prossimi aggiornamenti mensili.
Riepilogo CVE di Microsoft
Questo rapporto contiene dettagli sulle seguenti vulnerabilità:
| Etichetta | ID CVE | Titolo CVE | Gravità |
|---|---|---|---|
| Agente di monitoraggio di Azure | CVE-2025-59504 | Vulnerabilità di esecuzione di codice remoto dell’agente di monitoraggio di Azure | Importante |
| Programma di miglioramento dell’esperienza del cliente (CEIP) | CVE-2025-59512 | Vulnerabilità di elevazione dei privilegi del programma di miglioramento dell’esperienza del cliente (CEIP) | Importante |
| Dynamics 365 Field Service (online) | CVE-2025-62211 | Vulnerabilità di spoofing di Dynamics 365 Field Service (online) | Importante |
| Dynamics 365 Field Service (online) | CVE-2025-62210 | Vulnerabilità di spoofing di Dynamics 365 Field Service (online) | Importante |
| GitHub Copilot e Visual Studio Code | CVE-2025-62453 | Vulnerabilità di bypass delle funzionalità di sicurezza di GitHub Copilot e Visual Studio Code | Importante |
| Processo host per attività Windows | CVE-2025-60710 | Vulnerabilità di elevazione dei privilegi nel processo host per le attività di Windows | Importante |
| Marinaio | CVE-2025-64433 | Lettura file contenitore arbitrario KubeVirt | Moderare |
| Marinaio | CVE-2025-64434 | La gestione impropria dei certificati TLS di KubeVirt consente lo spoofing dell’identità API | Moderare |
| Marinaio | CVE-2025-64436 | Le autorizzazioni eccessive sui ruoli di KubeVirt potrebbero consentire migrazioni VMI non autorizzate tra nodi | Moderare |
| Marinaio | CVE-2025-12875 | mruby array.c ary_fill_exec scrittura fuori limite | Moderare |
| Marinaio | CVE-2025-31133 | abuso di escape del contenitore runc tramite “percorso mascherato” dovuto alle condizioni di gara del mount | Importante |
| Marinaio | CVE-2025-10966 | manca la verifica dell’host SFTP con wolfSSH | Moderare |
| Marinaio | CVE-2025-12863 | Libxml2: utilizzo dello spazio dei nomi dopo la liberazione nella funzione xmlsettreedoc() di libxml2 | Importante |
| Marinaio | CVE-2025-64435 | Denial-of-Service (DoS) di KubeVirt VMI tramite rappresentazione del pod | Moderare |
| Marinaio | CVE-2025-64329 | Server CRI containerd: esaurimento della memoria dell’host tramite perdita di goroutine Attach | Moderare |
| Marinaio | CVE-2025-40107 | can: hi311x: corregge il dereferenziamento del puntatore nullo durante la ripresa dalla sospensione prima che l’interfaccia fosse abilitata | Moderare |
| Marinaio | CVE-2025-64432 | KubeVirt interessato da un bypass di autenticazione nel livello di aggregazione di Kubernetes | Moderare |
| Marinaio | CVE-2024-25621 | containerd interessato da un’escalation di privilegi locali tramite ampi permessi sulla directory CRI | Importante |
| Marinaio | CVE-2025-52565 | fuga del contenitore a causa del montaggio /dev/console e delle relative gare | Importante |
| Marinaio | CVE-2025-40109 | crypto: rng – Assicurati che set_ent sia sempre presente | Moderare |
| Marinaio | CVE-2025-64437 | Il difetto di rilevamento dell’isolamento di KubeVirt consente modifiche arbitrarie alle autorizzazioni dei file | Moderare |
| Marinaio | CVE-2025-60753 | È stato rilevato un problema in libarchive bsdtar prima della versione 3.8.1 nella funzione apply_substitution nel file tar/subst.c durante l’elaborazione delle regole di sostituzione -s create appositamente. Questo può causare un’allocazione di memoria illimitata e portare a un denial of service (arresto anomalo per mancanza di memoria). | Moderare |
| Marinaio | CVE-2025-52881 | runc: le etichette LSM possono essere aggirate con una configurazione dannosa utilizzando file procfs fittizi | Importante |
| Gestione della configurazione Microsoft | CVE-2025-47179 | Vulnerabilità di elevazione dei privilegi di Configuration Manager | Importante |
| Microsoft Dynamics 365 (in locale) | CVE-2025-62206 | Vulnerabilità di divulgazione delle informazioni in Microsoft Dynamics 365 (on-premises) | Importante |
| Microsoft Edge (basato su Chromium) | CVE-2025-12726 | Chromium: CVE-2025-12726 Implementazione non appropriata in Views. | Sconosciuto |
| Microsoft Edge (basato su Chromium) | CVE-2025-12729 | Chromium: CVE-2025-12729 Implementazione inappropriata in Omnibox | Sconosciuto |
| Microsoft Edge (basato su Chromium) | CVE-2025-12727 | Chromium: CVE-2025-12727 Implementazione inappropriata in V8 | Sconosciuto |
| Microsoft Edge (basato su Chromium) | CVE-2025-12725 | Chromium: CVE-2025-12725 Scrittura fuori dai limiti in WebGPU | Sconosciuto |
| Microsoft Edge (basato su Chromium) | CVE-2025-12728 | Chromium: CVE-2025-12728 Implementazione inappropriata in Omnibox | Sconosciuto |
| Componente grafico Microsoft | CVE-2025-60724 | Vulnerabilità di esecuzione di codice remoto GDI+ | Importante |
| Microsoft Office | CVE-2025-62216 | Vulnerabilità di esecuzione di codice remoto in Microsoft Office | Importante |
| Microsoft Office | CVE-2025-62199 | Vulnerabilità di esecuzione di codice remoto in Microsoft Office | Critico |
| Microsoft Office Excel | CVE-2025-62200 | Vulnerabilità di esecuzione di codice remoto in Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-62201 | Vulnerabilità di esecuzione di codice remoto in Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-60726 | Vulnerabilità di divulgazione delle informazioni di Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-62203 | Vulnerabilità di esecuzione di codice remoto in Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-62202 | Vulnerabilità di divulgazione delle informazioni di Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-60727 | Vulnerabilità di esecuzione di codice remoto in Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-60728 | Vulnerabilità di divulgazione delle informazioni di Microsoft Excel | Importante |
| Microsoft Office Excel | CVE-2025-59240 | Vulnerabilità di divulgazione delle informazioni di Microsoft Excel | Importante |
| Microsoft Office SharePoint | CVE-2025-62204 | Vulnerabilità di esecuzione di codice remoto in Microsoft SharePoint | Importante |
| Microsoft Office Word | CVE-2025-62205 | Vulnerabilità di esecuzione di codice remoto in Microsoft Office | Importante |
| Servizio di streaming Microsoft | CVE-2025-59514 | Vulnerabilità di elevazione dei privilegi del proxy del servizio di streaming Microsoft | Importante |
| Sistema di provisioning wireless Microsoft | CVE-2025-62218 | Vulnerabilità di elevazione dei privilegi del sistema di provisioning wireless Microsoft | Importante |
| Sistema di provisioning wireless Microsoft | CVE-2025-62219 | Vulnerabilità di elevazione dei privilegi del sistema di provisioning wireless Microsoft | Importante |
| Servizio di pianificazione delle lezioni multimediali (MMCSS) | CVE-2025-60707 | Vulnerabilità di elevazione dei privilegi del driver del servizio Multimedia Class Scheduler (MMCSS) | Importante |
| Nuance PowerScribe | CVE-2025-30398 | Vulnerabilità di divulgazione delle informazioni di Nuance PowerScribe 360 | Critico |
| OneDrive per Android | CVE-2025-60722 | Vulnerabilità di elevazione dei privilegi di Microsoft OneDrive per Android | Importante |
| Ruolo: Windows Hyper-V | CVE-2025-60706 | Vulnerabilità di divulgazione delle informazioni di Windows Hyper-V | Importante |
| SQL Server | CVE-2025-59499 | Vulnerabilità di elevazione dei privilegi di Microsoft SQL Server | Importante |
| Driver Storvsp.sys | CVE-2025-60708 | Vulnerabilità di negazione del servizio del driver Storvsp.sys | Importante |
| Visual Studio | CVE-2025-62214 | Vulnerabilità di esecuzione di codice remoto in Visual Studio | Critico |
| Estensione di chat CoPilot di Visual Studio Code | CVE-2025-62449 | Vulnerabilità di bypass della funzionalità di sicurezza dell’estensione chat CoPilot di Microsoft Visual Studio Code | Importante |
| Estensione di chat CoPilot di Visual Studio Code | CVE-2025-62222 | Vulnerabilità di esecuzione di codice remoto di Agentic AI e Visual Studio Code | Importante |
| Protezione dell’amministratore di Windows | CVE-2025-60721 | Vulnerabilità di elevazione dei privilegi di protezione dell’amministratore di Windows | Importante |
| Protezione dell’amministratore di Windows | CVE-2025-60718 | Vulnerabilità di elevazione dei privilegi di protezione dell’amministratore di Windows | Importante |
| Driver di funzione ausiliaria di Windows per WinSock | CVE-2025-62217 | Vulnerabilità di elevazione dei privilegi del driver di funzione ausiliaria di Windows per WinSock | Importante |
| Driver di funzione ausiliaria di Windows per WinSock | CVE-2025-60719 | Vulnerabilità di elevazione dei privilegi del driver di funzione ausiliaria di Windows per WinSock | Importante |
| Driver di funzione ausiliaria di Windows per WinSock | CVE-2025-62213 | Vulnerabilità di elevazione dei privilegi del driver di funzione ausiliaria di Windows per WinSock | Importante |
| Driver del protocollo RFCOM Bluetooth di Windows | CVE-2025-59513 | Vulnerabilità di divulgazione delle informazioni del driver del protocollo RFCOM Bluetooth di Windows | Importante |
| Servizio utente DVR di Windows Broadcast | CVE-2025-59515 | Vulnerabilità di elevazione dei privilegi del servizio utente DVR di Windows Broadcast | Importante |
| Servizio utente DVR di Windows Broadcast | CVE-2025-60717 | Vulnerabilità di elevazione dei privilegi del servizio utente DVR di Windows Broadcast | Importante |
| Servizio di memorizzazione nella cache lato client (CSC) di Windows | CVE-2025-60705 | Vulnerabilità di elevazione dei privilegi nella cache lato client di Windows | Importante |
| Driver del file system di registro comune di Windows | CVE-2025-60709 | Vulnerabilità di elevazione dei privilegi del driver Common Log File System di Windows | Importante |
| DirectX di Windows | CVE-2025-59506 | Vulnerabilità di elevazione dei privilegi del kernel grafico DirectX | Importante |
| DirectX di Windows | CVE-2025-60716 | Vulnerabilità di elevazione dei privilegi del kernel grafico DirectX | Critico |
| DirectX di Windows | CVE-2025-60723 | Vulnerabilità di negazione del servizio del kernel grafico DirectX | Importante |
| Kerberos di Windows | CVE-2025-60704 | Vulnerabilità di elevazione dei privilegi Kerberos di Windows | Importante |
| Kernel di Windows | CVE-2025-62215 | Vulnerabilità di elevazione dei privilegi del kernel di Windows | Importante |
| Gestore licenze di Windows | CVE-2025-62208 | Vulnerabilità di divulgazione delle informazioni di Windows License Manager | Importante |
| Gestore licenze di Windows | CVE-2025-62209 | Vulnerabilità di divulgazione delle informazioni di Windows License Manager | Importante |
| Windows OLE | CVE-2025-60714 | Vulnerabilità di esecuzione di codice remoto OLE di Windows | Importante |
| Desktop remoto di Windows | CVE-2025-60703 | Vulnerabilità di elevazione dei privilegi nei Servizi Desktop remoto di Windows | Importante |
| Servizio di routing e accesso remoto di Windows (RRAS) | CVE-2025-62452 | Vulnerabilità di esecuzione di codice remoto nel servizio Routing e Accesso remoto di Windows (RRAS) | Importante |
| Servizio di routing e accesso remoto di Windows (RRAS) | CVE-2025-59510 | Vulnerabilità di negazione del servizio del servizio Routing e accesso remoto di Windows (RRAS) | Importante |
| Servizio di routing e accesso remoto di Windows (RRAS) | CVE-2025-60715 | Vulnerabilità di esecuzione di codice remoto nel servizio Routing e Accesso remoto di Windows (RRAS) | Importante |
| Servizio di routing e accesso remoto di Windows (RRAS) | CVE-2025-60713 | Vulnerabilità di elevazione dei privilegi del servizio Routing e Accesso remoto di Windows (RRAS) | Importante |
| Smart Card di Windows | CVE-2025-59505 | Vulnerabilità di elevazione dei privilegi del lettore di smart card di Windows | Importante |
| Discorso di Windows | CVE-2025-59507 | Vulnerabilità di elevazione dei privilegi di Windows Speech Runtime | Importante |
| Discorso di Windows | CVE-2025-59508 | Vulnerabilità di elevazione dei privilegi nel riconoscimento vocale di Windows | Importante |
| Discorso di Windows | CVE-2025-59509 | Vulnerabilità di divulgazione delle informazioni relative al riconoscimento vocale di Windows | Importante |
| Sottosistema Windows per interfaccia grafica Linux | CVE-2025-62220 | Vulnerabilità di esecuzione di codice remoto dell’interfaccia utente grafica del sottosistema Windows per Linux | Importante |
| Windows TDX.sys | CVE-2025-60720 | Vulnerabilità di elevazione dei privilegi del driver di traduzione dell’interfaccia del driver di trasporto di Windows (TDI) | Importante |
| Servizio WLAN di Windows | CVE-2025-59511 | Vulnerabilità di elevazione dei privilegi del servizio WLAN di Windows | Importante |
