Sommario
Le ultime settimane hanno visto emergere due minacce di livello critico nel mondo della cybersicurezza legate al sistema operativo Windows. Da un lato, un sofisticato attacco orchestrato dal gruppo Water Gamayun, che sfrutta la vulnerabilità CVE-2025-26633, dall’altro una nuova falla zero-day che permette il furto di credenziali NTLM semplicemente visualizzando un file infetto in Windows Explorer. Entrambe pongono gravi rischi di compromissione per aziende e utenti privati.
CVE-2025-26633: Water Gamayun sfrutta i file .msc per attacchi avanzati
Il gruppo Water Gamayun, noto per le sue campagne persistenti e avanzate, ha recentemente sfruttato una vulnerabilità critica nel Microsoft Management Console (MMC) per diffondere un’ampia gamma di payload malevoli. La vulnerabilità, denominata MSC EvilTwin (CVE-2025-26633), è stata analizzata da Trend Micro e classificata come un vero zero-day.
Attraverso la manipolazione dei file .msc e del componente MUIPath, gli aggressori riescono ad eseguire codice arbitrario sfruttando binari legittimi di Windows. L’esecuzione dei payload avviene tramite loader trojan che si presentano come file innocui, ma che attivano esecuzioni proxy di malware come EncryptHub Stealer, DarkWisp, SilentPrism e Rhadamanthys.
Questa tecnica consente elevati livelli di persistenza e esfiltrazione di dati sensibili, mantenendo al contempo una bassa visibilità rispetto agli antivirus tradizionali. Fortunatamente, grazie alla collaborazione tra Trend Micro e Microsoft, è stata rilasciata una patch ufficiale per correggere la vulnerabilità, oltre a protezioni specifiche nel pacchetto Trend Vision One™.
Windows SCF zero-day: furto di hash NTLM tramite file Explorer
Parallelamente, il team di ACROS Security ha scoperto una nuova vulnerabilità zero-day che coinvolge file SCF (Shell Command File) visualizzati in Windows Explorer. L’attacco si attiva semplicemente aprendo una cartella contenente il file infetto — anche se questo è stato scaricato automaticamente — e consente agli attaccanti di ottenere le credenziali NTLM dell’utente, ovvero hash di password utilizzabili in pass-the-hash e NTLM relay attack.
Questo bug, ancora senza un CVE-ID ufficiale, colpisce tutte le versioni di Windows, da Windows 7 fino a Windows 11, incluse le versioni server. È particolarmente pericoloso in ambienti aziendali dove gli hash NTLM possono essere riutilizzati lateralmente nella rete per compromettere ulteriori macchine.
ACROS ha reso disponibile una patch non ufficiale e gratuita tramite il proprio servizio 0Patch, in attesa che Microsoft rilasci una correzione ufficiale. L’agente 0Patch può essere installato senza bisogno di riavviare il sistema.
Implicazioni e raccomandazioni di sicurezza
Le due vulnerabilità hanno un impatto differente ma convergente: CVE-2025-26633 consente l’esecuzione remota di codice tramite file .msc malevoli, soprattutto se combinata con phishing o accessi a dispositivi compromessi. La vulnerabilità SCF consente il furto silenzioso di credenziali NTLM, facilitando movimenti laterali e attacchi a server esposti.
Le raccomandazioni fondamentali sono:
- Applicare immediatamente le patch rilasciate da Microsoft e da vendor come Trend Micro e 0Patch.
- Monitorare l’esecuzione anomala di mmc.exe e file .msc in directory non standard.
- Bloccare file SCF in ambienti condivisi, come cartelle di rete e dischi USB.
- Utilizzare soluzioni di protezione multilivello, come Trend Vision One, che integrano rilevamenti comportamentali e threat intelligence in tempo reale.
