Patch Tuesday Microsoft di aprile 2025: attenti alla vulnerabilità già sfruttata dai ransomware

Nel consueto appuntamento mensile con le patch Microsoft, l’azienda di Redmond ha rilasciato correzioni per un totale di 125 vulnerabilità, 11 delle quali classificate come critiche. Sebbene nessuna vulnerabilità sia stata divulgata pubblicamente prima del rilascio, una falla zero-day è attualmente sfruttata per condurre attacchi. In particolare, i malware-writer del team ransomware RansomEXX la stanno utilizzando per acquisire privilegi elevati (SYSTEM) sulle macchine delle vittime.

CVE-2025-29824: Vulnerabilità zero-day nel driver del Common Log File System

La vulnerabilità CVE-2025-29824 rappresenta il rischio più immediato tra quelle segnalate. Si tratta del problema di sicurezza utilizzato per diffondere ransomware (RansomEXX) sfruttando una falla precedentemente irrisolta individuata nel Windows Common Log File System Driver.

L’exploit messo a punto consente a un attaccante locale di ottenere privilegi SYSTEM, ovvero il livello più elevato all’interno del sistema operativo Windows. Il problema interessa i sistemi Windows 10 a 32 e 64 bit.

Secondo Microsoft, l’exploit non richiede interazione dell’utente, rendendolo particolarmente pericoloso anche nei contesti aziendali.

Prima della distribuzione del ransomware, gli sviluppatori di RansomEXX hanno impiegato PipeMagic, un malware con funzionalità di backdoor avanzate. Scoperto da Kaspersky nel 2022 e legato anche agli attacchi del ransomware Nokoyawa, PipeMagic consente di raccogliere informazioni sensibili, garantire accesso remoto in modalità persistente ai dispositivi infetti, distribuire ulteriori payload per il movimento laterale all’interno della rete.

PipeMagic è stato utilizzato come vettore per distribuire l’exploit di CVE-2025-29824, il payload del ransomware RansomEXX, il file di richiesta di riscatto del ransomware.

LDAP e Remote Desktop: vulnerabilità critiche con potenziale di esecuzione remota di codice

Tra le criticità più rilevanti emerse nel Patch Tuesday di aprile, spiccano quattro vulnerabilità critiche che interessano i componenti LDAP e Remote Desktop Services. Pur non essendo ancora sfruttate attivamente, la loro gravità deriva dalla possibilità di eseguire codice arbitrario in remoto quando si verificano specifiche condizioni.

CVE-2025-26663 & CVE-2025-26670: attacchi complessi ma ad alto impatto sui server LDAP

Le vulnerabilità CVE-2025-26663 (server LDAP) e CVE-2025-26670 (client LDAP) sono causate da race condition che, se sfruttate, portano a use-after-free, una condizione di memoria che può permettere l’esecuzione di codice da remoto. Entrambe possono essere attivate tramite richieste appositamente create da utenti malintenzionati non autenticati.

Sebbene la complessità dell’attacco sia elevata, ciò non deve essere sottovalutato: un attaccante motivato e ben equipaggiato potrebbe sfruttare la vulnerabilità provocando danni ingenti.

CVE-2025-27480 & CVE-2025-27482: vulnerabilità nei Remote Desktop Gateway

Due ulteriori falle critiche, CVE-2025-27480 e CVE-2025-27482, impattano sui sistemi che rivestono il ruolo di Remote Desktop Gateway. Le vulnerabilità si basano, ancora una volta, su race condition che portano a condizioni di memoria instabile (use-after-free), con potenziale esecuzione remota di codice.

In entrambi i casi, l’attacco richiede che l’aggressore si colleghi al gateway e completi con successo un attacco altamente complesso, ma potenzialmente devastante. L’utilizzo della segmentazione di rete, il monitoraggio degli accessi e il logging avanzato sono misure sempre fortemente consigliate.

Minacce legate all’interazione dell’utente con le applicazioni Office

Oltre alle vulnerabilità indicate, Microsoft ha segnalato diverse falle nei componenti del pacchetto Office. Pur non essendo classificate come critiche dal punto di vista tecnico, comportano rischi elevati a livello operativo.

Questi vettori di attacco fanno leva su meccanismi di social engineering e sulla necessità dell’interazione dell’utente per aprire documenti malevoli.

In un contesto aziendale, si rende sempre più fondamentale la combinazione tra aggiornamenti tecnici e formazione degli utenti per ridurre le possibilità di attacco.

Le altre vulnerabilità rilevanti messe in evidenza da Cisco Talos

Gli esperti di Cisco Talos mettono in evidenza ulteriori vulnerabilità nell’ambito del Patch Tuesday di aprile 2025.

Nonostante siano classificate da Microsoft come “importanti” e non “critiche”, Cisco Talos sottolinea infatti come alcune di esse presentino un’elevata probabilità di sfruttamento (“Exploitation More Likely”), il che le rende potenzialmente pericolose in ambienti reali.

In particolare, falle come il bypass del Mark of the Web (CVE-2025-27472), il “flag” che di norma Windows inserisce sui file scaricati dalla rete Internet (e quindi potenzialmente pericolosi), e le elevazioni di privilegi nei componenti Office e Windows Installer (CVE-2025-27727, CVE-2025-29792) possono essere utilizzate in catene di exploit più complesse per ottenere l’esecuzione di codice con privilegi elevati.

Altre vulnerabilità, come quelle in Microsoft SharePoint (CVE-2025-29793 e CVE-2025-29794) e in Kerberos (CVE-2025-29809), amplificano il rischio nelle infrastrutture enterprise dove questi servizi sono ampiamente utilizzati.

L’approccio di Cisco Talos mette quindi in evidenza un elemento spesso trascurato: non è solo la gravità assegnata da CVSS a determinare la pericolosità di una vulnerabilità, ma anche il contesto in cui essa può essere sfruttata e la facilità di attacco nel mondo reale.

Al solito, per approfondire, suggeriamo di fare riferimento all’analisi pubblicata da ISC-SANS: contiene anche la lista integrale di tutte le patch correttive che gli sviluppatori Microsoft hanno rilasciato ad aprile 2025.