Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Settembre 2025 17:14
Una vulnerabilità critica nel programma di installazione della CLI di Salesforce (sf-x64.exe) consente agli aggressori di ottenere l’esecuzione di codice arbitrario, l’escalation dei privilegi e l’accesso a livello di SYSTEM sui sistemi Windows.
La vulnerabilità sfrutta il modo in cui il programma di installazione risolve i percorsi dei file durante l’installazione. Salesforce ha rilasciato la versione 2.106.6, che risolve il problema codificando in modo rigido i percorsi assoluti dei file e convalidando le firme digitali prima di caricare gli eseguibili supplementari.
Quando sf-x64.exe viene eseguito, carica diversi file eseguibili e DLL ausiliari dalla directory di lavoro corrente prima di tornare alla directory contenente il programma di installazione.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un aggressore che inserisce un eseguibile contraffatto con lo stesso nome di un componente legittimo (ad esempio, sf-autoupdate.exe o sf-config.dll) nella stessa cartella può far sì che il programma di installazione carichi ed esegua il codice dell’aggressore.
Identificato come CVE-2025-9844, il difetto deriva dalla gestione impropria dei percorsi dei file eseguibili da parte del programma di installazione, consentendo l’esecuzione di file dannosi al posto di binari legittimi quando il software viene ottenuto da fonti non attendibili.
Poiché il programma di installazione viene eseguito con privilegi elevati per impostazione predefinita, scrivendo chiavi di registro in HKLM e creando servizi in LocalSystem, il codice iniettato eredita privilegi a livello SYSTEM, consentendo il controllo completo della macchina host.
All’esecuzione, il programma di installazione carica il rogue sf-autoupdate.exe, che aumenta i privilegi creando un servizio reverse shell nell’account LocalSystem. L’aggressore utilizza quindi la shell per eseguire comandi sul sistema operativo. Tutte le versioni di Salesforce-CLI precedenti alla 2.106.6 sono interessate da questa vulnerabilità di dirottamento del percorso.
È importante sottolineare che sono a rischio solo gli utenti che installano la CLI da mirror non attendibili o repository di terze parti; le installazioni scaricate direttamente tramite il sito ufficiale di Salesforce utilizzano un programma di installazione firmato che impone rigorosi controlli di risoluzione del percorso e di integrità.
Per porre rimedio al problema, gli utenti interessati devono disinstallare immediatamente qualsiasi versione della CLI ottenuta da fonti non verificate ed eseguire una scansione completa del sistema alla ricerca di eseguibili sconosciuti o servizi sospetti.
Si consiglia agli amministratori di imporre l’installazione solo da endpoint attendibili e di abilitare i criteri di Microsoft Defender Application Control (MDAC) per limitare l’esecuzione di file binari non autorizzati nelle directory di installazione. Inoltre, il monitoraggio continuo dei registri degli eventi di sistema è necessario per rilevar l’esecuzione di programmi di installazione in percorsi non standard.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
