Aggiornamenti Microsoft giugno 2025: falle critiche in Office, RDP, WebDAV e SMB

Microsoft ha rilasciato il consueto aggiornamento di sicurezza mensile (Patch Tuesday) per il mese di giugno 2025, affrontando 67 vulnerabilità, 10 delle quali classificate come critiche. Uno dei problemi di sicurezza (CVE-2025-33053), adesso risolti con la distribuzione della corrispondente patch correttiva, risulta già sfruttato; un’altra lacuna (CVE-2025-33073) era già nota pubblicamente.

Di seguito riassumiamo quelle che appaiono essere le vulnerabilità più pericolose di questo mese e che, a seconda della specifica configurazione dei propri sistemi, necessitano di maggiore attenzione.

Focus sulle vulnerabilità già sfruttate o divulgate

WebDAV Remote Code Execution (già sfruttata, CVE-2025-33053)

Tra le lacune di sicurezza più rilevanti ve n’è una che colpisce il client WebDAV, non il modulo server, ed è legata ai componenti legacy di Internet Explorer (come MSHTML e Scripting Engine).

Il vettore d’attacco richiede interazione da parte dell’utente: se un aggressore riesce a controllare il nome e il percorso del file, può ingannare la vittima inducendola a eseguire codice all’interno della rete, ad esempio in ambito aziendale.

Il problema è sanabile installando l’aggiornamento cumulativo per Internet Explorer anche sui sistemi in cui il browser legacy di Microsoft non viene da tempo più utilizzato.

Acquisizione privilegi più elevati via SMB (già divulgata, CVE-2025-33073)

L’exploit richiede che la vittima si connetta a un server SMB malevolo, aprendo la strada all’elevazione dei privilegi fino al livello SYSTEM. Pur essendo classificata come vulnerabilità importante, l’effettiva probabilità di sfruttamento è considerata bassa.

L’attaccante deve attirare o ingannare la vittima a connettersi a una condivisione SMB trappola sotto il suo controllo (ad esempio con un link UNC \\malicious-server\share).

Il vettore principale prevede un attacco man-in-the-middle o l’utilizzo di tecniche di phishing e social engineering per forzare il client a stabilire una connessione verso un server SMB dannoso.

RCE critiche in servizi di rete e sistema operativo

Remote Desktop Services RCE: CVE-2025-32710

Anche questo mese si aggiunge alle precedenti un’ulteriore vulnerabilità nei servizi RDP, sfruttabile tramite una race condition (due thread o processi gestiscono la memoria condivisa in modo improprio). Ne scaturisce una situazione Use‑After‑Free, ovvero memoria deallocata che viene poi riutilizzata in modo malevolo, permettendo l’iniezione di codice eseguibile o la corruzione della memoria per ottenere l’esecuzione di codice in modalità remota.

L’attacco richiede il ruolo di Remote Desktop Gateway attivo sulla macchina bersaglio. È valutata con un CVSS 8.1, ma Microsoft la considera di alta complessità e poco probabile in termini di sfruttamento.

Crittografia Windows Schannel / TLS RCE: CVE-2025-29828

In questo caso ci troviamo dinanzi a una falla potenzialmente pericolosa che coinvolge i Windows Cryptographic Services e il protocollo TLS, a causa di una gestione errata della memoria.

Microsoft indica che l’attacco può essere innescato tramite richieste frammentate, dirette verso i server TLS vulnerabili. Sebbene lo scenario di attacco sia complesso, desta preoccupazione per i servizi crittografici esposti.

Sebbene la complessità dell’attacco sia elevata, non richiede autenticazione. Microsoft ha valutato l’exploit come “meno probabile” ma non impossibile, date le tecniche note.

Kerberos KDC Proxy RCE: CVE-2025-33071

Rispetto ad altre vulnerabilità RCE di questo mese, che portano all’esecuzione di codice arbitrario, CVE-2025-33071 è considerata come quella a più elevata probabilità di sfruttamento.

Colpisce il servizio KDC Proxy (non i controller di dominio) e sfrutta una debolezza nei protocolli crittografici. Ha un CVSS 8.1 e interessa nello specifico i server Windows configurati per supportare il Kerberos KDC Proxy Protocol.

Se sfruttata con successo, l’aggressore è nelle condizioni di abilitare l’esecuzione remota di codice con i privilegi SYSTEM, senza bisogno di credenziali.

SharePoint Server RCE: CVE-2025-47172

Una vulnerabilità SQL injection-like nella gestione degli input da parte di SharePoint Server è sfruttabile da utenti autenticati con privilegi minimi (Site Member).

L’attacco è facilmente attivabile in rete ma richiede credenziali valide. Valutata con un CVSS 8.8, con complessità bassa ma sfruttamento fortunatamente ancora non osservato.

RCE nella suite Microsoft Office

Microsoft Office risulta ancora una volta un bersaglio sensibile, con quattro vulnerabilità critiche RCE:

• CVE-2025-47162: overflow heap-based
• CVE-2025-47164 e CVE-2025-47953: use-after-free
• CVE-2025-47167: type confusion

Tre su quattro sono considerate facilmente sfruttabili, anche tramite l’anteprima dei documenti nel riquadro di preview di Outlook o Esplora File, senza la necessità di aprire manualmente il file.

Elevazione dei privilegi: nuove falle critiche nei servizi core

Windows Netlogon: CVE-2025-33070

Una vulnerabilità critica che permette il bypass dell’autenticazione tramite l’uso di risorse non inizializzate. Un attaccante potrebbe ottenere addirittura i privilegi da amministratore di dominio, confermando il problema di sicurezza come estremamente pericoloso in ambienti Active Directory.

Power Automate: CVE-2025-47966

La patch rilasciata da Microsoft va a correggere una lacuna nella gestione delle credenziali di Power Automate. Un attore non autorizzato poteva accedere a dati sensibili e ottenere privilegi più elevati. Microsoft ha già mitigato completamente la vulnerabilità, e non è necessaria azione da parte dell’utente.

Altre vulnerabilità degne di nota

Microsoft ha evidenziato anche alcune vulnerabilità “importanti” con probabilità di sfruttamento superiore alla media:

• CVE-2025-32713 – Elevation of Privilege nel Common Log File System Driver
• CVE-2025-32714 – Elevation of Privilege nel Windows Installer
• CVE-2025-47962 – Elevation of Privilege nello SDK di Windows

Pur non essendo classificate come critiche, queste falle rappresentano un rischio concreto, specialmente in ambienti multiutente o con accesso condiviso.

Considerazioni finali

Il contenuto del Patch Tuesday di giugno 2025 evidenzia una persistente fragilità nei componenti legacy di Windows, come MSHTML e WebDAV, che continuano ad essere presenti “dietro le quinte” a livello di sistema operativo e ampliano la superficie d’attacco.

I pacchetti correttivi evidenziano anche una crescente attenzione alla sicurezza dei servizi di automazione (Power Automate) e collaborazione aziendale (Office, SharePoint).

Le aziende dovrebbero applicare immediatamente gli aggiornamenti cumulativi, specialmente per le vulnerabilità già sfruttate o pubblicamente divulgate. È inoltre consigliato verificare la configurazione del Remote Desktop Gateway e del KDC Proxy, rivedendone l’esposizione.

Sarebbe altresì opportuno valutare la disattivazione o l’isolamento di componenti legacy come Internet Explorer e WebDAV, se non strettamente necessari. Gli utenti normali e i professionisti dovrebbero concentrarsi soprattutto sulla protezione della suite Microsoft Office, con l’installazione delle rispettive patch.

Un’analisi completa del Patch Tuesday di giugno 2025 è disponibile sul sito di ISC-SANS. Per approfondire, suggeriamo la lettura dell’analisi di Cisco Talos.