Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Grave Falla RCE in Remote Desktop Gateway (RD Gateway). Aggiornare Subito

Redazione RHC : 19 Maggio 2025 08:49

Una vulnerabilità critica nel Remote Desktop Gateway (RD Gateway) di Microsoft che potrebbe consentire agli aggressori di eseguire codice dannoso sui sistemi interessati da remoto. Il difetto, è stato scoperto e segnalato da VictorV (Tang Tianwen) del Kunlun Lab, e deriva da un bug di tipo use-after-free (UAF) attivato da connessioni socket simultanee durante l’inizializzazione del servizio Remote Desktop Gateway.

Remote Desktop Gateway (RD Gateway) è un ruolo di Microsoft Windows Server che consente agli utenti remoti di accedere alle risorse interne in modo sicuro ed efficiente tramite Internet. “La vulnerabilità si verifica quando più thread possono sovrascrivere lo stesso puntatore globale, corrompendo i conteggi dei riferimenti e portando infine alla dereferenziazione di un puntatore sospeso, uno scenario UAF classico”, spiega l’avviso di sicurezza .

La vulnerabilità, identificata come CVE-2025-21297 alla quale è stato assegnato uno score CVSSv3 pari ad 8.1, è stata divulgata da Microsoft nei suoi aggiornamenti di sicurezza di gennaio 2025 e da allora è stata attivamente sfruttata.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Nello specifico, la vulnerabilità esiste nella libreria aaedge.dll, all’interno della funzione CTsgMsgServer::GetCTsgMsgServerInstance, dove un puntatore globale (m_pMsgSvrInstance) viene inizializzato senza un’adeguata sincronizzazione dei thread. Secondo i ricercatori, per sfruttare con successo un attacco è necessario che l’aggressore:

    1. Connettersi a un sistema che esegue il ruolo Gateway Desktop remoto;
    2. Attiva connessioni simultanee al RD Gateway (tramite più socket);
    3. Sfruttare il problema di temporizzazione per cui l’allocazione della memoria e l’assegnazione dei puntatori non sono sincronizzate.
    4. Fare in modo che una connessione sovrascriva il puntatore prima che un’altra finisca di farvi riferimento.

    Sono vulnerabili diverse versioni di Windows Server che utilizzano RD Gateway per l’accesso remoto sicuro, tra cui:

    • Windows Server 2016 (installazioni Core e Standard).
    • Windows Server 2019 (installazioni Core e Standard).
    • Windows Server 2022 (installazioni Core e Standard).
    • Windows Server 2025 (installazioni Core e Standard).

    Le organizzazioni che utilizzano RD Gateway come punto di accesso fondamentale per dipendenti, collaboratori o partner che lavorano da remoto sono particolarmente a rischio. Microsoft ha risolto questa vulnerabilità nel 
    Patch Tuesday di maggio 2025, introducendo la sincronizzazione basata su mutex, garantendo che un solo thread possa inizializzare l’istanza globale in un dato momento.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Stangata da 167 milioni: WhatsApp vince la causa contro NSO e il suo spyware Pegasus
    Di Redazione RHC - 01/09/2025

    In un’importante novità legale è alle porte. Un tribunale statunitense ha ordinato al gruppo NSO, noto produttore di spyware, di pagare 167 milioni di dollari a WhatsApp. Questa sentenza è la con...

    Esce DarkMirror H1 2025. Il report sulla minaccia Ransomware di Dark Lab
    Di Redazione RHC - 01/09/2025

    Il ransomware continua a rappresentare una delle minacce più pervasive e dannose nel panorama della cybersecurity globale. Nel consueto report “DarkMirror” realizzato dal laboratorio di intellige...

    Sindoor Dropper: il malware che usa lo scontro India-Pakistan per infettare Linux
    Di Redazione RHC - 31/08/2025

    Un’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione arti...

    Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
    Di Redazione RHC - 30/08/2025

    E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...

    Il Pentagono avvia un Audit su Microsoft. Si indaga sugli ingegneri cinesi e su presunte backdoor
    Di Redazione RHC - 30/08/2025

    Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...