Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
English Spanish
Cerca
2nd Edition GlitchZone RHC 970x120 2
Enterprise BusinessLog 320x200 1

Tag: escalation privilegi

AzureHound: lo strumento “legittimo” per gli assalti al cloud

Luca Galuppi 31/10/2025

AzureHound, parte della suite BloodHound, nasce come strumento open-source per aiutare i team di sicurezza e i red team a individuare vulnerabilità e percorsi di escalation negli ambienti Microsoft Azure ed Entra ID. Oggi, però, è sempre più spesso utilizzato da gruppi criminali e attori sponsorizzati da stati per scopi ben diversi: mappare infrastrutture cloud, identificare ruoli privilegiati e pianificare attacchi mirati. Perché AzureHound è diventato uno strumento pericoloso Scritto in Go e disponibile per Windows, Linux e macOS, AzureHound interroga le API di Microsoft Graph e Azure REST per raccogliere informazioni su identità, ruoli, applicazioni e risorse presenti nel tenant. Il

Vulnerabilità critica in Linux-PAM: Una nuova Privilege Escalation

Redazione RHC 20/10/2025

Un’identificazione di vulnerabilità di alta gravità è stata attribuita al framework PAM (Pluggable Authentication Modules) con l’identificatore CVE-2025-8941. Questa vulnerabilità ha origine nel cuore dei sistemi operativi Linux e consente agli aggressori con accesso locale di sfruttare attacchi symlink e condizioni di gara per ottenere l’escalation completa dei privilegi di root. Gli esperti di sicurezza avvertono che questo problema richiede un’attenzione immediata, soprattutto per i server e i desktop che si affidano a Linux-PAM per l’autenticazione degli utenti . Gli strumenti open source più fidati non sono immuni dai rischi, poiché l’accesso come amministratore (root), che rappresenta il livello massimo di controllo

12 bug di sicurezza scoperti su Ivanti Endpoint Manager (EPM). Aggiornare subito!

Redazione RHC 14/10/2025

13 vulnerabilità nel suo software Endpoint Manager (EPM) di Ivanti sono state pubblicate, tra cui due falle di elevata gravità che potrebbero consentire l’esecuzione di codice remoto e l’escalation dei privilegi. Nonostante l’assenza di casi di sfruttamento, Tra le vulnerabilità si distingue il CVE-2025-9713 come un problema di path traversal di elevata gravità con un punteggio CVSS di 8,8, che consente ad aggressori remoti non autenticati di eseguire codice arbitrario se gli utenti interagiscono con file dannosi. Si tratta del CWE-22, che viene sfruttata a causa della scarsa convalida degli input durante il processo di importazione delle configurazioni, il che potrebbe permettere

Un bug critico in VMware Aria Operations e VMware Tools utilizzato da mesi dagli hacker cinesi

Redazione RHC 01/10/2025

Broadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato assegnato l’identificativo CVE-2025-41244. Sebbene l’azienda non abbia segnalato alcun exploit nel bollettino ufficiale, il ricercatore di NVISO Maxime Thibault lo ha segnalato a maggio che gli attacchi sono iniziati a metà ottobre 2024. L’analisi ha collegato gli attacchi al gruppo cinese UNC5174. La vulnerabilità consente a un utente locale senza privilegi di inserire un file binario dannoso in directory che corrispondono a espressioni regolari generiche. Una variante osservata in attacchi

Active Directory nel mirino! Come i criminal hacker rubano NTDS.dit

Redazione RHC 26/09/2025

Active Directory (AD) contiene le chiavi digitali dell’organizzazione: l’accesso non autorizzato a questo servizio espone informazioni sensibili e credenziali che possono condurre a una compromissione totale del dominio. Tra gli asset più critici c’è il file NTDS.dit, che memorizza l’insieme dei dati di dominio e gli hash delle password. Questo articolo ricostruisce un caso reale in cui attori ostili hanno ottenuto privilegi elevati, hanno estratto NTDS.dit e hanno tentato la sua esfiltrazione eludendo controlli comuni. Il valore strategico di NTDS.dit In un ambiente Windows dominato da Active Directory, il file NTDS.dit (NT Directory Services Directory Information Tree) rappresenta il database centrale del

Vulnerabilità critiche in BitLocker: Microsoft risolve 2 falle di sicurezza

Redazione RHC 11/09/2025

Due vulnerabilità significative nell’elevazione dei privilegi, che riguardano la crittografia BitLocker di Windows, sono state risolte da Microsoft. Il livello di gravità di queste falle, identificate come CVE-2025-54911 e CVE-2025-54912 è stato definito elevato. La divulgazione di tali vulnerabilità è avvenuta il 9 settembre 2025. Entrambi i bug CVE-2025-54911 che CVE-2025-54912 sono classificate come vulnerabilità “ Use-After-Free “, un tipo comune e pericoloso di bug di danneggiamento della memoria. Questa debolezza, catalogata in CWE-416, si verifica quando un programma continua a utilizzare un puntatore a una posizione di memoria dopo che tale memoria è stata liberata o deallocata. La scoperta del CVE-2025-54912

Race condition letale per Linux: il trucco che trasforma un segnale POSIX in un’arma

Redazione RHC 09/09/2025

Un ricercatore indipendente di nome Alexander Popov ha presentato una nuova tecnica per sfruttare una vulnerabilità critica nel kernel Linux, a cui è stato assegnato l’identificatore CVE-2024-50264. Questo errore di tipo “use-after-free” nel sottosistema AF_VSOCK è presente dalla versione 4.8 del kernel e consente a un utente locale senza privilegi di avviare uno errore quando si lavora con un oggetto virtio_vsock_sock durante la creazione della connessione. La complessità e l’entità delle conseguenze hanno fatto sì che il bug si aggiudicasse i Pwnie Awards 2025 nella categoria “Best Privilege Escalation”. In precedenza, si riteneva che lo sfruttamento del problema fosse estremamente difficile a

Windows: gli aggiornamenti di sicurezza causano problemi con UAC e installazione app

Redazione RHC 05/09/2025

Microsoft ha annunciato che gli aggiornamenti di sicurezza di Windows di agosto 2025 potrebbero causare richieste impreviste di Controllo dell’account utente (UAC) e problemi durante l’installazione delle app. Il bug riguarda gli utenti non amministratori su tutte le versioni supportate di Windows. Il problema è causato da una patch che risolve una vulnerabilità di escalation dei privilegi in Windows Installer (CVE-2025-50173). Questa vulnerabilità consentiva ad aggressori autenticati di ottenere privilegi a livello di SISTEMA. Per risolvere il problema, Microsoft ha implementato nuovi prompt di Controllo dell’account utente che richiedono le credenziali di amministratore in varie situazioni per impedire potenziali escalation dei privilegi

Una nuova tecnica di Privilege Escalation (PE) consente il bypass del UAC su Windows

Redazione RHC 08/08/2025

Una recente scoperta ha portato alla luce una sofisticata tecnica che aggira il controllo dell’account utente (UAC) di Windows, consentendo l’escalation dei privilegi senza necessità di intervento utente, grazie all’uso dell’editor di caratteri privati, e suscitando preoccupazioni su scala mondiale tra gli amministratori di sistema. L’attacco divulgato da Matan Bahar sfrutta eudcedit.exe l’editor di caratteri privati integrato di Microsoft, disponibile in C:WindowsSystem32, originariamente progettato per creare e modificare i caratteri definiti dall’utente finale (EUDC). I ricercatori di sicurezza hanno scoperto che questa utility apparentemente innocua può essere sfruttata per aggirare il principale gatekeeper di sicurezza di Windows. La falla di sicurezza è

Sophos risolve vulnerabilità in Intercept X per Windows

Redazione RHC 18/07/2025

Sophos ha annunciato di aver risolto tre distinte vulnerabilità di sicurezza in Sophos Intercept X per Windows e nel relativo programma di installazione. Queste problematiche, identificate con i codici CVE-2024-13972, CVE-2025-7433 e CVE-2025-7472, sono state classificate con un livello di gravità “Alto”. Il bollettino di sicurezza, con ID pubblicazione sophos-sa-20250717-cix-lpe, è stato aggiornato e pubblicato il 17 luglio 2025 e non prevede soluzioni alternative temporanee. I prodotti interessati sono Sophos Intercept X Endpoint e Intercept X per il server. La prima vulnerabilità, CVE-2024-13972, riguarda un problema di permessi nel registro durante l’aggiornamento di Intercept X per Windows. Questa falla avrebbe potuto consentire

Categorie