Una falla di sicurezza è stata scoperta in Windows Admin Center (WAC) di Microsoft. In pratica, un errore di autorizzazione può far assumere il controllo di un server a qualsiasi utente standard.
Il team di Cymulate Research Labs hanno pubblicato un nuovo report che illustra la scoperta di CVE-2025-64669, ovvero una vulnerabilità (CVSS 7.8) di tipo Local Privilege Escalation (LPE). Questa debolezza va a colpire proprio le versioni più in voga dello strumento per gestire l’infrastruttura. Insomma, è una vulnerabilità che può mettere a rischio la sicurezza dei server.
La notizia è arrivata dopo un’analisi approfondita da parte del team di ricerca, che ha messo nel mirino il problema. A quanto pare, la falla di sicurezza è una guest star nelle versioni più popolari di WAC. Un utente con intenzioni poco pure potrebbe facilmente approfittare di questo errore per ottenere i privilegi di amministratore e quindi prendere il controllo totale del server, il che è davvero poco rassicurante.
Il problema nasce da un errore di configurazione davvero semplice: una cartella di sistema super importante è stata lasciata sbloccata. I ricercatori hanno scoperto che la directory C:ProgramDataWindowsAdminCenter era impostata per essere accessibile a tutti gli utenti standard, anche per quanto riguarda la scrittura. In pratica, questo errore ha permesso agli aggressori di prendere il controllo della situazione. Ora, grazie alla correzione di Microsoft, la falla è stata chiusa.
La vulnerabilità è stata causata da una mancata protezione della cartella, che è stata configurata per essere accessibile a tutti, senza troppe restrizioni. Questo ha fatto sì che gli utenti standard potessero scrivere nella directory, senza essere bloccati. La scoperta della vulnerabilità ha portato Microsoft a prendere provvedimenti, e ora la sicurezza della rete è stata rafforzata.
“La causa principale risiede nelle autorizzazioni di directory non sicure, in cui la cartella C:ProgramDataWindowsAdminCenter è scrivibile da tutti gli utenti standard”, afferma il rapporto. Questa svista ha fatto sì che qualsiasi utente con privilegi bassi sul sistema potesse manomettere i file utilizzati dai processi più potenti dell’Admin Center. “Gli utenti standard con accesso al file system sottostante possono sfruttare questa configurazione errata per aumentare i privilegi”.
Trovare una cartella scrivibile è una cosa, sfruttarla come arma è un’altra. I ricercatori hanno identificato due percorsi distinti per sfruttare questa falla , ma il metodo più ingegnoso prevedeva di ingannare il programma di aggiornamento del WAC.
La scoperta del team ha rivelato che era possibile effettuare un attacco di “DLL Hijacking” sul processo WindowsAdminCenterUpdater.exe. Nonostante ciò, l’aggiornamento presentava un meccanismo di protezione che consisteva nella convalida delle firme digitali prima del caricamento dei file.
“Avevamo quasi rinunciato, ma poi abbiamo notato qualcosa di interessante”, hanno scritto i ricercatori. Si sono resi conto che il processo di convalida presentava una piccola finestra di vulnerabilità, una classica falla “Time-of-Check Time-of-Use” (TOCTOU). “Il processo di convalida avviene all’interno del processo WindowsAdminCenter stesso e, al termine, richiama e apre WindowsAdminCenterUpdater.exe”.
Microsoft ha assegnato il problema CVE-2025-64669 e ha assegnato al team di Cymulate una ricompensa di 5.000 dollari per le sue scoperte. Gli amministratori che utilizzano Windows Admin Center sono invitati ad aggiornare immediatamente alla versione 2411 o successiva per colmare questa lacuna critica.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cultura
Innovazione
Cybercrime
Cybercrime
Cybercrime