Vulnerabilità LPE critica in Windows Admin Center: rischio sicurezza elevato

Una falla di sicurezza è stata scoperta in Windows Admin Center (WAC) di Microsoft. In pratica, un errore di autorizzazione può far assumere il controllo di un server a qualsiasi utente standard.

Il team di Cymulate Research Labs hanno pubblicato un nuovo report che illustra la scoperta di CVE-2025-64669, ovvero una vulnerabilità (CVSS 7.8) di tipo Local Privilege Escalation (LPE). Questa debolezza va a colpire proprio le versioni più in voga dello strumento per gestire l’infrastruttura. Insomma, è una vulnerabilità che può mettere a rischio la sicurezza dei server.

La notizia è arrivata dopo un’analisi approfondita da parte del team di ricerca, che ha messo nel mirino il problema. A quanto pare, la falla di sicurezza è una guest star nelle versioni più popolari di WAC. Un utente con intenzioni poco pure potrebbe facilmente approfittare di questo errore per ottenere i privilegi di amministratore e quindi prendere il controllo totale del server, il che è davvero poco rassicurante.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il problema nasce da un errore di configurazione davvero semplice: una cartella di sistema super importante è stata lasciata sbloccata. I ricercatori hanno scoperto che la directory C:ProgramDataWindowsAdminCenter era impostata per essere accessibile a tutti gli utenti standard, anche per quanto riguarda la scrittura. In pratica, questo errore ha permesso agli aggressori di prendere il controllo della situazione. Ora, grazie alla correzione di Microsoft, la falla è stata chiusa.

La vulnerabilità è stata causata da una mancata protezione della cartella, che è stata configurata per essere accessibile a tutti, senza troppe restrizioni. Questo ha fatto sì che gli utenti standard potessero scrivere nella directory, senza essere bloccati. La scoperta della vulnerabilità ha portato Microsoft a prendere provvedimenti, e ora la sicurezza della rete è stata rafforzata.

“La causa principale risiede nelle autorizzazioni di directory non sicure, in cui la cartella C:ProgramDataWindowsAdminCenter è scrivibile da tutti gli utenti standard”, afferma il rapporto. Questa svista ha fatto sì che qualsiasi utente con privilegi bassi sul sistema potesse manomettere i file utilizzati dai processi più potenti dell’Admin Center. “Gli utenti standard con accesso al file system sottostante possono sfruttare questa configurazione errata per aumentare i privilegi”.

Trovare una cartella scrivibile è una cosa, sfruttarla come arma è un’altra. I ricercatori hanno identificato due percorsi distinti per sfruttare questa falla , ma il metodo più ingegnoso prevedeva di ingannare il programma di aggiornamento del WAC.

La scoperta del team ha rivelato che era possibile effettuare un attacco di “DLL Hijacking” sul processo WindowsAdminCenterUpdater.exe. Nonostante ciò, l’aggiornamento presentava un meccanismo di protezione che consisteva nella convalida delle firme digitali prima del caricamento dei file.

“Avevamo quasi rinunciato, ma poi abbiamo notato qualcosa di interessante”, hanno scritto i ricercatori. Si sono resi conto che il processo di convalida presentava una piccola finestra di vulnerabilità, una classica falla “Time-of-Check Time-of-Use” (TOCTOU). “Il processo di convalida avviene all’interno del processo WindowsAdminCenter stesso e, al termine, richiama e apre WindowsAdminCenterUpdater.exe”.

Microsoft ha assegnato il problema CVE-2025-64669 e ha assegnato al team di Cymulate una ricompensa di 5.000 dollari per le sue scoperte. Gli amministratori che utilizzano Windows Admin Center sono invitati ad aggiornare immediatamente alla versione 2411 o successiva per colmare questa lacuna critica.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.