Microsoft Patch Tuesday di settembre: 81 vulnerabilità e 2 0day attivi

Redazione RHC : 10 Settembre 2025 13:20

Il recente aggiornamento di sicurezza Patch Tuesday di settembre, ha visto Microsoft rilasciare una serie completa di update, andando a risolvere un totale di 81 vulnerabilità presenti all’interno dei propri prodotti e servizi.

In particolare, ben 9 di queste vulnerabilità sono state classificate come critiche, con 2 di esse segnalate come zero-day, ovvero già note e sfruttate prima della pubblicazione delle correzioni.

Queste ultime hanno destato particolare attenzione tra gli esperti del settore, in quanto sfruttate o descritte minuziosamente ancor prima della distribuzione delle soluzioni di sicurezza.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La prima vulnerabilità, identificata come CVE-2025-55234, riguarda il server SMB. Consente agli aggressori di eseguire attacchi relay e ottenere l’escalation dei privilegi. Microsoft sottolinea che il sistema stesso dispone già di meccanismi di protezione, ovvero SMB Server Signing e Extended Protection for Authentication, ma abilitarli potrebbe causare problemi di compatibilità con i dispositivi meno recenti. Pertanto, gli amministratori dovrebbero abilitare l’audit e verificare attentamente le configurazioni prima di passare a policy rigorose.

Il secondo problema, CVE-2024-21907 , è correlato alla libreria Newtonsoft.Json utilizzata in SQL Server. Durante l’elaborazione di dati appositamente preparati tramite il metodo JsonConvert.DeserializeObject, si verifica uno stack overflow , che può portare a un Denial of Service. Il bug è stato divulgato già nel 2024, ma solo ora è stato incluso nel pacchetto di patch ufficiale di Microsoft.

Oltre a questi due, la versione di settembre corregge decine di altri bug critici e importanti. In Microsoft Office, sono state corrette diverse vulnerabilità in Excel, PowerPoint, Visio e SharePoint che consentivano l’esecuzione di codice arbitrario all’apertura di documenti dannosi. Per Windows, sono state chiuse falle nel componente grafico, nel sottosistema Hyper-V e in NTLM, quest’ultimo particolarmente pericoloso, in quanto poteva essere utilizzato per compromettere le credenziali nell’infrastruttura di dominio. Sono stati inoltre corretti errori in BitLocker e LSASS che consentivano l’escalation dei privilegi, e bug nei servizi Defender Firewall, Bluetooth e Dispositivi Connessi.

Tra le altre cose, vale la pena sottolineare una vulnerabilità in Windows NTFS, in cui un attacco potrebbe portare all’esecuzione di codice remoto, nonché bug critici nei driver DirectX e nei componenti Win32K. Questi errori consentono potenzialmente di aggirare le difese del kernel ed eseguire istruzioni dannose a livello di sistema.

Microsoft sottolinea inoltre che questo ciclo di aggiornamento ha ampliato le funzionalità di auditing dei client SMB. Ciò è necessario affinché gli amministratori possano valutare in anticipo la compatibilità quando passeranno a nuove policy di sicurezza che diventeranno obbligatorie in futuro.

Microsoft non è stata l’unica azienda a correggere falle critiche a settembre. Adobe ha chiuso la vulnerabilità SessionReaper in Magento, che consentiva agli utenti di intercettare le sessioni. Google ha rilasciato la patch Android di settembre, che ha corretto 84 bug, inclusi due attivamente sfruttati in attacchi reali. SAP ha corretto una vulnerabilità di massima gravità in NetWeaver, che consentiva l’esecuzione di comandi con privilegi di sistema. TP-Link ha riconosciuto una falla in diversi router domestici, ancora in fase di studio, ma l’azienda sta già preparando le patch per gli utenti americani. Cisco ha aggiornato WebEx, ASA e altri prodotti di rete, eliminando i rischi di accesso remoto e perdite di dati.

Il Patch Tuesday di settembre è stato uno dei più intensi dell’anno. Due vulnerabilità zero-day divulgate pubblicamente in SMB e SQL Server evidenziano la necessità di installare gli aggiornamenti il più rapidamente possibile, mentre un lungo elenco di vulnerabilità in Windows e Office dimostra che gli aggressori possono utilizzare una varietà di vettori per compromettere l’infrastruttura aziendale. Amministratori e professionisti della sicurezza dovrebbero verificare immediatamente la pertinenza delle patch installate e sottoporre a un attento.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli