Patch Microsoft di marzo 2025: a rischio file system NTFS, FAT e i file VHD

Microsoft ha pubblicato il suo consueto aggiornamento mensile di sicurezza per marzo 2025, risolvendo un totale di 57 vulnerabilità che interessano diversi prodotti. Tra queste, 6 sono classificate come critiche e, cosa più preoccupante, 6 falle di sicurezza sono già sfruttate attivamente per condurre attacchi informatici.

Tra le lacune di sicurezza più rilevanti figura CVE-2025-24064, un problema critico che riguarda il servizio Windows Domain Name Service (DNS) per la risoluzione dei nomi di dominio. La vulnerabilità può aprire all’esecuzione di codice remoto (RCE, Remote Code Execution) tramite un attacco basato su un aggiornamento dinamico dei record DNS. Il servizio Windows DNS supporta il meccanismo degli aggiornamenti dinamici per assegnare automaticamente nomi host a indirizzi IP interni, semplificando la gestione delle reti aziendali. La funzionalità, tuttavia, può rappresentare un rischio se sfruttata da un attaccante remoto.

Vulnerabilità nel file system NTFS: escalation di privilegi e RCE

Tre vulnerabilità già sfruttate dagli aggressori colpiscono il file system NTFS, con un impatto potenzialmente piuttosto severo.

La vulnerabilità CVE-2025-24993, ad esempio, può essere sfruttata inducendo la vittima a montare un file system corrotto. Il risultato è l’esecuzione di codice arbitrario con privilegi elevati, a valle di un errore di buffer overflow.

Le falle rinvenute nei file system rappresentano un rischio elevato. In questo caso un attaccante può creare un’immagine disco VHD dannosa e indurre la vittima a montarla, compromettendo così il sistema.

CVE-2025-24985: Overflow nel driver Fast FAT e attacco remoto tramite VHD

Il driver Fast FAT è il modulo software di Windows che gestisce il file system FAT (File Allocation Table), sviluppato originariamente da Microsoft per MS-DOS e per le prime versioni di Windows. Il nome Fast FAT si riferisce a un’implementazione ottimizzata del driver per migliorare prestazioni e compatibilità.

La vulnerabilità critica CVE-2025-24985, anch’essa già sfruttata dagli aggressori, riguarda proprio il driver del file system Fast FAT. Il problema deriva da un overflow dello heap, che consente l’esecuzione di codice remoto.

Analogamente agli attacchi NTFS, l’exploit avviene inducendo l’utente a montare un file immagine VHD corrotto. Un attaccante potrebbe fornire il file dannoso tramite phishing o altre tecniche di ingegneria sociale.

Microsoft Management Console e kernel Win32: escalation di privilegi e bypass delle protezioni

Altre due vulnerabilità già attivamente sfruttate riguardano:

• Una falla di bypass della sicurezza nella Microsoft Management Console (MMC), che può consentire agli attaccanti di aggirare le protezioni di sistema e ottenere privilegi più elevati.
• Un problema di acquisizione di privilegi più elevati nel kernel Win32, che potrebbe essere utilizzato da un attaccante locale per ottenere il controllo completo del dispositivo compromesso.

Le due vulnerabilità si rivelano particolarmente critiche nei sistemi aziendali: un exploit potrebbe portare a una compromissione su vasta scala.

Vulnerabilità critiche nei servizi di Desktop Remoto

Tre vulnerabilità critiche correggono alcune falle di rilevo venute a galla nei Servizi Desktop Remoto di Windows, in particolare nelle configurazioni che operano come gateway remoto. Questo tipo di configurazione è spesso esposto su Internet, aumentando il rischio di attacchi.

Per sfruttare con successo la vulnerabilità, un attaccante dovrebbe vincere una race condition non specificata, rendendo l’exploit meno affidabile. Nonostante ciò, le aziende dovrebbero implementare misure di protezione aggiuntive per mitigare il rischio di compromissioni via RDP (Remote Desktop Protocol).

Vulnerabilità critiche in Microsoft Office e Windows Subsystem for Linux (WSL)

Infine, tra le vulnerabilità critiche si segnalano problemi di sicurezza in Microsoft Office e nel Sottosistema Windows per Linux (WSL). Sebbene i dettagli su queste falle siano ancora limitati, il rischio è elevato, soprattutto considerando la diffusione di Office negli ambienti aziendali e l’uso crescente di WSL per svolgere attività di sviluppo e test.

Le vulnerabilità in Microsoft Office sono particolarmente preoccupanti perché spesso vengono sfruttate per attacchi basati su documenti malevoli. Gli attaccanti possono incorporare exploit all’interno di file Word, Excel o PowerPoint, inducendo le vittime ad aprirli. A quel punto, il codice dannoso può essere eseguito, spesso con privilegi elevati.

WSL consente di eseguire distribuzioni Linux direttamente su Windows senza l’uso di macchine virtuali tradizionali. Sebbene WSL sia utile per sviluppatori e amministratori di sistema, la sua stretta integrazione con Windows introduce nuovi rischi di sicurezza.

Le vulnerabilità critiche in WSL possono consentire a un attaccante di eseguire codice dannoso con privilegi elevati, di evadere le protezioni di sicurezza di Windows, di effettuare movimenti laterali.

Note finali

Gli aggiornamenti che correggono le vulnerabilità del mese di marzo 2025 descritte in questo articolo e tutte le altre lacune di sicurezza indicate da Microsoft in questo bollettino, sono distribuiti attraverso Windows Update e gli altri canali ufficiali. L’identificativo dei pacchetti di aggiornamento cumulativi cambia a seconda del sistema operativo e della versione.

La colonna Article nella scheda di ciascuna patch Microsoft indica quale pacchetto di aggiornamento integra le correzioni per il problema di sicurezza.

Come spiegato nell’articolo su cosa succede se non si installano gli aggiornamenti di sicurezza Microsoft, è bene verificare a ogni livello (ma soprattutto in ambienti professionali e aziendali) la propria superficie d’attacco ed essere solerti nell’applicazione delle patch che risolvono problemi relativi a servizi esposti pubblicamente o potenzialmente bersaglio di attacchi remoti.