Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il 20 ottobre 2025, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato un’allerta urgente riguardante una vulnerabilità critica, CVE-2025-33073, presente nel client SMB di Windows di Microsoft. Questa falla, caratterizzata da un controllo degli accessi inadeguato, potrebbe comportare un aumento significativo dei privilegi per gli aggressori. La vulnerabilità rappresenta un rischio elevato per gli attacchi informatici in tutto il mondo, motivo per cui è stata segnalata con urgenza.
Il CISA sollecita nel suo bollettino un’azione immediata: applicare le ultime patch di Microsoft come indicato nei loro avvisi di sicurezza o seguire la Direttiva operativa vincolante (BOD) 22-01 per i servizi cloud federali.
Secondo il catalogo delle vulnerabilità note sfruttate (KEV) della CISA, i malintenzionati possono creare uno script che ingannano il computer della vittima, inducendolo ad avviare una connessione SMB con il sistema dell’aggressore.
La falla, associata a CWE-284 (Improper Access Control), mette in evidenza le preoccupazioni di vecchia data sui meccanismi di autenticazione del protocollo SMB, che sono stati a lungo un obiettivo privilegiato dei criminali informatici, a partire dall’epidemia di WannaCry nel 2017 e il successivo BlueKeep.
Con l’intensificarsi delle minacce informatiche e l’aumento degli incidenti ransomware, le aziende si stanno affrettando ad applicare le patch ai propri sistemi prima della scadenza del 10 novembre.
La vulnerabilità sfrutta il protocollo Server Message Block (SMB), un elemento fondamentale della condivisione file e delle comunicazioni di rete di Windows.
Questo bug di sicurezza, una volta sfruttato, lascia la porta aperta ad accessi non autorizzati, potenzialmente permettendo agli aggressori di assumere il pieno controllo del dispositivo violato. Questa vulnerabilità può essere sfruttata mediante tecniche di ingegneria sociale o attraverso download drive-by, sfruttando l’errore degli utenti che inconsapevolmente eseguono il payload dannoso.
Una volta attivato, il client SMB si autentica sul server dell’aggressore, aggirando le normali misure di sicurezza e consentendo il movimento laterale all’interno delle reti. Sebbene la CISA sottolinei che non è noto se questa specifica falla alimenti le campagne ransomware, la tecnica rispecchia le tattiche utilizzate da gruppi come LockBit e Conti, che sfruttano abitualmente i protocolli Windows per l’accesso iniziale.
L’avviso giunge in un momento di tensione per gli amministratori IT, in seguito a un’ondata di exploit correlati alle PMI nel 2025, compresi quelli che hanno preso di mira ambienti Azure non aggiornati. Gli esperti avvertono che i sistemi non protetti potrebbero essere soggetti a esfiltrazione di dati o distribuzione di malware, soprattutto in settori come la finanza e l’assistenza sanitaria.
Se le misure di mitigazione non sono praticabili, interrompere l’utilizzo dei prodotti interessati. Strumenti come Windows Defender e il rilevamento degli endpoint di terze parti possono aiutare a monitorare le anomalie del traffico SMB.
