Dalle VPN ai desktop remoti: i bug Windows che non smettono mai di sorprendere

Redazione RHC : 15 Dicembre 2025 10:20

I servizi di Windows dedicati alle connessioni remote hanno da sempre rappresentato una fonte inesauribile di “soddisfazioni” per chi si occupa di sicurezza informatica, rivelando vulnerabilità di enorme impatto. Tra gli esempi più noti c’è EternalBlue, scoperto e tenuto segreto per cinque anni dall’NSA, prima di essere rubato dal gruppo Shadow Brokers e utilizzato per l’epidemia globale di WannaCry nel 2017, che ha infettato milioni di computer e causato danni ingenti a enti pubblici e aziende private.

Un altro caso emblematico è stato BlueKeep, una vulnerabilità presente nel servizio RDP di Windows che permetteva l’esecuzione remota di codice senza autenticazione su sistemi non aggiornati. Questi episodi dimostrano quanto i servizi di gestione delle connessioni remote possano diventare rapidamente un terreno fertile per exploit critici, evidenziando il ruolo strategico di questi componenti nella sicurezza complessiva dei sistemi Windows.

Esiste una falla di sicurezza estremamente grave nel servizio Windows Remote Access Connection Manager (RasMan) che permette a malintenzionati con accesso locale di attivare codice a loro scelta con diritti di amministratore di sistema.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nel corso dell’esame della vulnerabilità CVE-2025-59230, che Microsoft ha trattato negli aggiornamenti di sicurezza dell’ottobre 2025, gli specialisti di sicurezza di 0patch hanno individuato una serie complessa di exploit, i quali si appoggiano a una falla zero-day secondaria e finora ignota per operare in maniera efficiente.

La vulnerabilità principale, CVE-2025-59230, riguarda il modo in cui il servizio RasMan gestisce gli endpoint RPC. All’avvio, il servizio registra un endpoint specifico di cui altri servizi privilegiati si fidano. I ricercatori di 0patch hanno scoperto che se RasMan non è in esecuzione, un aggressore può registrare prima questo endpoint. Una volta che i servizi privilegiati tentano di connettersi, comunicano inconsapevolmente con il processo dell’aggressore, consentendo l’esecuzione di comandi dannosi.

Tuttavia, sfruttare questa condizione di competizione è difficile perché RasMan in genere si avvia automaticamente all’avvio del sistema, non lasciando agli aggressori alcuna finestra di opportunità per registrare prima l’endpoint. Per aggirare questa limitazione, l’exploit scoperto sfrutta una seconda vulnerabilità non ancora patchata. Questa falla zero-day consente a un utente non privilegiato di bloccare intenzionalmente il servizio RasMan.

L’arresto anomalo è causato da un errore logico nel codice relativo a una lista concatenata circolare. Il servizio tenta di attraversare la lista ma non riesce a gestire correttamente i puntatori NULL, causando una violazione dell’accesso alla memoria .

Arrestando il servizio, gli aggressori possono forzarne l’arresto, rilasciare l’endpoint RPC e successivamente attivare la catena di exploit CVE-2025-59230 per ottenere l’accesso al sistema. Microsoft ha rilasciato patch ufficiali per la falla di elevazione dei privilegi (CVE-2025-59230). Tuttavia, la vulnerabilità di crash del servizio utilizzata per facilitare l’attacco non era stata ancora corretta nei canali ufficiali al momento della scoperta.

0patch ha rilasciato delle micropatch per risolvere questo problema di crash sulle piattaforme supportate, tra cui Windows 11 e Server 2025. Si consiglia agli amministratori di applicare immediatamente gli aggiornamenti di Windows di ottobre 2025 per mitigare il rischio di escalation dei privilegi principali.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli