Microsoft Patch Tuesday Aprile 2025. 121 bug di sicurezza corretti: 49 PE e 31 RCE

Luca Galuppi : 9 Aprile 2025 08:59

Il consueto appuntamento mensile con il Patch Tuesday di Microsoft, per aprile 2025, porta con sé un carico significativo di aggiornamenti: ben 121 vulnerabilità corrette, a testimonianza della complessità e dell’estensione dell’intero ecosistema Microsoft. A destare particolare attenzione è la presenza di una vulnerabilità zero-day attivamente sfruttata, che ha immediatamente catalizzato l’interesse di amministratori di sistema e professionisti della sicurezza, richiamando l’urgenza di interventi tempestivi.

Una panoramica delle vulnerabilità

La distribuzione delle vulnerabilità corrette è la seguente:

La maggior parte delle vulnerabilità riguarda l’elevazione dei privilegi e l’esecuzione di codice da remoto, due vettori di attacco tra i più critici per la compromissione dei sistemi aziendali.

Zero-day CVE-2025-29824: vulnerabilità nel driver CLFS

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità CVE-2025-29824, classificata come elevazione di privilegio, è stata confermata da Microsoft come attivamente sfruttata prima del rilascio della patch. Il problema risiede nel driver del Common Log File System (CLFS), componente a basso livello del kernel di Windows. Un attaccante che abbia già accesso a un sistema potrebbe sfruttare questa vulnerabilità per ottenere privilegi SYSTEM, permettendogli di eseguire codice arbitrario, installare malware, accedere a dati riservati o modificare configurazioni critiche del sistema.

Secondo Microsoft, “Un attaccante che sfruttasse con successo questa vulnerabilità potrebbe ottenere privilegi SYSTEM”. Il rischio elevato derivante da questo exploit rende prioritario l’aggiornamento dei sistemi, soprattutto in contesti enterprise e infrastrutturali.

Alcune delle vulnerabilità critiche evidenziate

Tra le vulnerabilità con impatto più elevato figurano diverse Remote Code Execution (RCE), molte delle quali riguardano Office, Excel, Word, SharePoint, Remote Desktop Services e Hyper-V:

• CVE-2025-26663 – LDAP RCE
• CVE-2025-26686 – TCP/IP RCE
• CVE-2025-27480 / CVE-2025-27482 – RCE in Remote Desktop Services
• CVE-2025-27745 / CVE-2025-27748 / CVE-2025-27749 – RCE in Microsoft Office
• CVE-2025-29791 / CVE-2025-27752 / CVE-2025-27751 – RCE in Microsoft Excel
• CVE-2025-27491 – RCE in Windows Hyper-V
• CVE-2025-29794 – RCE in SharePoint

Tutte queste vulnerabilità sono considerate critiche o importanti, a seconda del livello di interazione richiesto per l’exploit e dell’impatto potenziale.

Cosa fare? Agire subito

L’approccio dev’essere proattivo. Rimandare gli aggiornamenti espone le organizzazioni a rischi concreti. E con un exploit già attivamente sfruttato, ogni ora di ritardo è una finestra che si spalanca ai threat actors.

Suggerimenti pratici:

• Applicare immediatamente le patch, soprattutto su sistemi critici e accessibili da remoto.
• Monitorare i sistemi per anomalie post-update.
• Aggiornare le firme degli antivirus e gli strumenti di EDR.
• Rafforzare la segmentazione della rete in attesa di aggiornamenti più lenti nei settori OT o legacy.

Conclusione

Chi lavora nel mondo della sicurezza informatica lo sa bene: la vera minaccia non è solo l’exploit, ma la fiducia cieca nel “tanto a me non capita”. E invece capita. Eccome.
Lo dimostrano i report mensili, lo dimostrano gli accessi venduti nel dark web, lo dimostrano i clienti che scoprono compromissioni a distanza di mesi, quando i danni sono ormai in corso e la tracciabilità è un’impresa.

È per questo che ogni patch, ogni aggiornamento e ogni controllo proattivo contano davvero. Perché nel mondo reale, la differenza tra un incidente contenuto e un disastro informatico si gioca spesso su ciò che si è scelto di ignorare.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore