Allarme Windows: due gravi zero-day nel file system NTFS mettono a rischio milioni di PC

Microsoft ha rilasciato un aggiornamento di sicurezza a gennaio che risolve due gravi vulnerabilità zero-day nel file system NTFS.

Le vulnerabilità hanno interessato più di trenta versioni di sistemi operativi desktop e server, tra cui Windows 11 e Windows Server. Prima del rilascio delle patch, gli aggressori avrebbero potuto sfruttare queste falle per ottenere il controllo completo di un computer.

Entrambe le vulnerabilità hanno ricevuto un punteggio CVSS di 7,8 su 10 e sono classificate come buffer overflow basati su heap. La prima falla (CVE-2026-20840) era correlata alla gestione non sicura dei dischi rigidi virtuali (VHD). Per sfruttarla, un aggressore avrebbe dovuto accedere preventivamente al sistema, ad esempio tramite malware preinstallato. Avrebbe quindi potuto preparare un file VHD appositamente predisposto e, quando il sistema lo elaborava, scrivere dati arbitrari in aree di memoria protette.

La seconda vulnerabilità (CVE-2026-20922) è emersa a causa della mancanza di controlli di convalida nel codice del driver NTFS per le tabelle di servizio nella partizione del disco. Ciò ha consentito anche l’escalation dei privilegi.

In entrambi i casi, lo sfruttamento riuscito ha permesso all’aggressore di ottenere privilegi di livello SYSTEM, ovvero i privilegi massimi disponibili nel sistema operativo. Con questi privilegi, l’aggressore poteva installare segretamente malware, rubare dati e, in un ambiente aziendale, utilizzare il computer compromesso come trampolino di lancio per ulteriori infiltrazioni nella rete locale.

Entrambe le vulnerabilità sono state scoperte da Sergey Tarasov, responsabile del team di analisi delle vulnerabilità di Positive Technologies.

Tali vulnerabilità rappresentano un pericolo particolare perché spesso diventano il primo anello di una catena di attacchi mirati alle organizzazioni.

Si consiglia agli utenti di installare gli ultimi aggiornamenti di sicurezza. Chi, per qualsiasi motivo, non fosse in grado di farlo, dovrebbe prestare attenzione quando lavora con dischi rigidi virtuali ed evitare di aprire file VHD da fonti non attendibili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione