Due vulnerabilità significative nell’elevazione dei privilegi, che riguardano la crittografia BitLocker di Windows, sono state risolte da Microsoft. Il livello di gravità di queste falle, identificate come CVE-2025-54911 e CVE-2025-54912 è stato definito elevato. La divulgazione di tali vulnerabilità è avvenuta il 9 settembre 2025.
Entrambi i bug CVE-2025-54911 che CVE-2025-54912 sono classificate come vulnerabilità “ Use-After-Free “, un tipo comune e pericoloso di bug di danneggiamento della memoria. Questa debolezza, catalogata in CWE-416, si verifica quando un programma continua a utilizzare un puntatore a una posizione di memoria dopo che tale memoria è stata liberata o deallocata.
La scoperta del CVE-2025-54912 è stata attribuita a Hussein Alrubaye, in collaborazione con Microsoft, a dimostrazione di uno sforzo collaborativo tra l’azienda e ricercatori di sicurezza esterni per identificare e risolvere problemi di sicurezza critici.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le vulnerabilità potrebbero permettere a un attaccante con autorizzazione di acquisire i privilegi SYSTEM completi su un computer, superando i protocolli di sicurezza che BitLocker è concepito per far rispettare.
In questo scenario, un malintenzionato potrebbe sfruttare questi bug per eseguire codice arbitrario, portando alla completa compromissione del sistema. La presenza di due distinti bug in BitLocker evidenzia le sfide in corso nel mantenimento della sicurezza della memoria nei software complessi.
Microsoft ha sottolineato che lo sfruttamento è considerato “meno probabile” e, al momento della divulgazione, le vulnerabilità non sono state descritte pubblicamente né sono state viste sfruttate in attacchi specifici.
Secondo le metriche CVSS fornite da Microsoft, un attacco richiede che l’avversario disponga di privilegi sul sistema di destinazione. Inoltre, affinché l’exploit abbia successo, è necessaria una qualche forma di interazione da parte dell’utente, il che significa che un aggressore dovrebbe indurre un utente autorizzato a eseguire un’azione specifica.
In risposta alla scoperta, Microsoft ha corretto le vulnerabilità nell’aggiornamento Patch Tuesday di settembre 2025. L’azienda ha esortato utenti e amministratori ad applicare tempestivamente gli ultimi aggiornamenti per proteggere i propri sistemi da potenziali attacchi.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Cultura
Cybercrime
Cyberpolitica
Cybercrime