Microsoft Patch Tuesday Aprile 2025. 121 bug di sicurezza corretti: 49 PE e 31 RCE

Il consueto appuntamento mensile con il Patch Tuesday di Microsoft, per aprile 2025, porta con sé un carico significativo di aggiornamenti: ben 121 vulnerabilità corrette, a testimonianza della complessità e dell’estensione dell’intero ecosistema Microsoft. A destare particolare attenzione è la presenza di una vulnerabilità zero-day attivamente sfruttata, che ha immediatamente catalizzato l’interesse di amministratori di sistema e professionisti della sicurezza, richiamando l’urgenza di interventi tempestivi.

Una panoramica delle vulnerabilità

La distribuzione delle vulnerabilità corrette è la seguente:

La maggior parte delle vulnerabilità riguarda l’elevazione dei privilegi e l’esecuzione di codice da remoto, due vettori di attacco tra i più critici per la compromissione dei sistemi aziendali.

Zero-day CVE-2025-29824: vulnerabilità nel driver CLFS

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità CVE-2025-29824, classificata come elevazione di privilegio, è stata confermata da Microsoft come attivamente sfruttata prima del rilascio della patch. Il problema risiede nel driver del Common Log File System (CLFS), componente a basso livello del kernel di Windows. Un attaccante che abbia già accesso a un sistema potrebbe sfruttare questa vulnerabilità per ottenere privilegi SYSTEM, permettendogli di eseguire codice arbitrario, installare malware, accedere a dati riservati o modificare configurazioni critiche del sistema.

Secondo Microsoft, “Un attaccante che sfruttasse con successo questa vulnerabilità potrebbe ottenere privilegi SYSTEM”. Il rischio elevato derivante da questo exploit rende prioritario l’aggiornamento dei sistemi, soprattutto in contesti enterprise e infrastrutturali.

Alcune delle vulnerabilità critiche evidenziate

Tra le vulnerabilità con impatto più elevato figurano diverse Remote Code Execution (RCE), molte delle quali riguardano Office, Excel, Word, SharePoint, Remote Desktop Services e Hyper-V:

• CVE-2025-26663 – LDAP RCE
• CVE-2025-26686 – TCP/IP RCE
• CVE-2025-27480 / CVE-2025-27482 – RCE in Remote Desktop Services
• CVE-2025-27745 / CVE-2025-27748 / CVE-2025-27749 – RCE in Microsoft Office
• CVE-2025-29791 / CVE-2025-27752 / CVE-2025-27751 – RCE in Microsoft Excel
• CVE-2025-27491 – RCE in Windows Hyper-V
• CVE-2025-29794 – RCE in SharePoint

Tutte queste vulnerabilità sono considerate critiche o importanti, a seconda del livello di interazione richiesto per l’exploit e dell’impatto potenziale.

Cosa fare? Agire subito

L’approccio dev’essere proattivo. Rimandare gli aggiornamenti espone le organizzazioni a rischi concreti. E con un exploit già attivamente sfruttato, ogni ora di ritardo è una finestra che si spalanca ai threat actors.

Suggerimenti pratici:

• Applicare immediatamente le patch, soprattutto su sistemi critici e accessibili da remoto.
• Monitorare i sistemi per anomalie post-update.
• Aggiornare le firme degli antivirus e gli strumenti di EDR.
• Rafforzare la segmentazione della rete in attesa di aggiornamenti più lenti nei settori OT o legacy.

Conclusione

Chi lavora nel mondo della sicurezza informatica lo sa bene: la vera minaccia non è solo l’exploit, ma la fiducia cieca nel “tanto a me non capita”. E invece capita. Eccome.
Lo dimostrano i report mensili, lo dimostrano gli accessi venduti nel dark web, lo dimostrano i clienti che scoprono compromissioni a distanza di mesi, quando i danni sono ormai in corso e la tracciabilità è un’impresa.

È per questo che ogni patch, ogni aggiornamento e ogni controllo proattivo contano davvero. Perché nel mondo reale, la differenza tra un incidente contenuto e un disastro informatico si gioca spesso su ciò che si è scelto di ignorare.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Galuppi

Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Aree di competenza: Firewall, Networking, Network Design, Architetture IT, Servizi IT

Visita il sito web dell'autore