Vulnerabilità critica in Windows Admin Center: falla sicurezza permette takeover server

Una falla di sicurezza davvero è stata scoperta in Windows Admin Center (WAC) di Microsoft. In pratica, un errore di autorizzazione può far assumere il controllo totale di un server a qualsiasi utente standard.

Il team di Cymulate Research Labs hanno pubblicato un nuovo report che illustra la scoperta di CVE-2025-64669, ovvero una vulnerabilità (CVSS 7.8) di tipo Local Privilege Escalation (LPE). Questa debolezza va a colpire proprio le versioni più in voga dello strumento per gestire l’infrastruttura. Insomma, è una vulnerabilità che può mettere a rischio la sicurezza dei server.

La notizia è arrivata dopo un’analisi approfondita da parte del team di ricerca, che ha messo nel mirino il problema. A quanto pare, la falla di sicurezza è una guest star nelle versioni più popolari di WAC. Un utente con intenzioni poco pure potrebbe facilmente approfittare di questo errore per ottenere i privilegi di amministratore e quindi prendere il controllo totale del server, il che è davvero poco rassicurante.

Il problema nasce da un errore di configurazione davvero semplice: una cartella di sistema super importante è stata lasciata sbloccata. I ricercatori hanno scoperto che la directory C:ProgramDataWindowsAdminCenter era impostata per essere accessibile a tutti gli utenti standard, anche per quanto riguarda la scrittura. In pratica, questo errore ha permesso agli aggressori di prendere il controllo della situazione. Ora, grazie alla correzione di Microsoft, la falla è stata chiusa.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità è stata causata da una mancata protezione della cartella, che è stata configurata per essere accessibile a tutti, senza troppe restrizioni. Questo ha fatto sì che gli utenti standard potessero scrivere nella directory, senza essere bloccati. La scoperta della vulnerabilità ha portato Microsoft a prendere provvedimenti, e ora la sicurezza della rete è stata rafforzata.

“La causa principale risiede nelle autorizzazioni di directory non sicure, in cui la cartella C:ProgramDataWindowsAdminCenter è scrivibile da tutti gli utenti standard”, afferma il rapporto. Questa svista ha fatto sì che qualsiasi utente con privilegi bassi sul sistema potesse manomettere i file utilizzati dai processi più potenti dell’Admin Center. “Gli utenti standard con accesso al file system sottostante possono sfruttare questa configurazione errata per aumentare i privilegi”.

Trovare una cartella scrivibile è una cosa, sfruttarla come arma è un’altra. I ricercatori hanno identificato due percorsi distinti per sfruttare questa falla , ma il metodo più ingegnoso prevedeva di ingannare il programma di aggiornamento del WAC.

La scoperta del team ha rivelato che era possibile effettuare un attacco di “DLL Hijacking” sul processo WindowsAdminCenterUpdater.exe. Nonostante ciò, l’aggiornamento presentava un meccanismo di protezione che consisteva nella convalida delle firme digitali prima del caricamento dei file.

“Avevamo quasi rinunciato, ma poi abbiamo notato qualcosa di interessante”, hanno scritto i ricercatori. Si sono resi conto che il processo di convalida presentava una piccola finestra di vulnerabilità, una classica falla “Time-of-Check Time-of-Use” (TOCTOU). “Il processo di convalida avviene all’interno del processo WindowsAdminCenter stesso e, al termine, richiama e apre WindowsAdminCenterUpdater.exe”.

Microsoft ha assegnato il problema CVE-2025-64669 e ha assegnato al team di Cymulate una ricompensa di 5.000 dollari per le sue scoperte. Gli amministratori che utilizzano Windows Admin Center sono invitati ad aggiornare immediatamente alla versione 2411 o successiva per colmare questa lacuna critica.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli