Patch Tuesday di ferragosto 2025: Microsoft corregge 111 vulnerabilità, incluso uno zero-day

Il Patch Tuesday di agosto 2025 di Microsoft introduce correzioni per un totale di 111 vulnerabilità, di cui 17 classificate come critiche. Tra queste, una vulnerabilità è stata divulgata prima della pubblicazione della patch, configurandosi come zero-day. Sebbene al momento nessuna delle vulnerabilità sia stata sfruttata attivamente in ambienti reali, le minacce rappresentano rischi significativi, tra cui esecuzione remota di codice (RCE) ed elevazione di privilegi. Gli utenti e le organizzazioni sono fortemente invitati a installare tempestivamente gli aggiornamenti per proteggere i propri sistemi.

Vulnerabilità Zero-Day: Windows Kerberos (CVE-2025-53779)

La vulnerabilità CVE-2025-53779, relativa a Windows Kerberos, ha un CVSS di 7,2 ed è classificata come moderata, ma rappresenta un rischio rilevante poiché consente a un attaccante di ottenere privilegi di amministratore di dominio.

• Requisiti per l’exploit: accesso privilegiato agli attributi del dMSA come msds-groupMSAMembership e msds-ManagedAccountPrecededByLink.
• Impatto: sfruttando il dMSA, l’attaccante può agire per conto di un utente specifico, compromettendo la sicurezza del dominio.
• Mitigazione: monitoraggio dei privilegi e applicazione immediata delle patch non appena disponibili.

Vulnerabilità critiche con esecuzione remota di codice

Windows Graphics Component (CVE-2025-50165), CVSS: 9,8

• Rischio: esecuzione remota di codice senza interazione dell’utente.
• Dettagli tecnici: il problema nasce da un puntatore non inizializzato durante la decodifica di immagini JPEG, che possono essere incluse in documenti Office o di terze parti.
• Attacco: network-based, sfruttabile attraverso file malevoli distribuiti via rete.

GDI+ (CVE-2025-53766), CVSS: 9,8

• Rischio: RCE su servizi Web che processano documenti che espongono metadati malevoli.
• Particolarità: non richiede privilegi, né interazione da parte dell’utente. Il riquadro di Anteprima di Esplora file non costituisce un vettore di attacco.
• Mitigazione: protezione dei servizi Web contro upload non autorizzati.

Vulnerabilità con acquisizione di privilegi elevati

Azure Portal (CVE-2025-53792), CVSS: 9,1

• Rischio: potenziale accesso non autorizzato a risorse sensibili nel portale Azure.
• Stato: già completamente mitigata da Microsoft, senza necessità di intervento da parte degli utenti. Si tratta infatti in un problema diagnosticato in-cloud.

Windows NTLM (CVE-2025-53778), CVSS: 8,8

• Rischio: elevazione privilegi a SYSTEM, elevata criticità nel caso dei sistemi aziendali.
• Mitigazione: implementazione di strategie di sicurezza preventive.

Vulnerabilità in Microsoft Office e Word

Microsoft Office e Word presentano diverse vulnerabilità RCE con CVSS 8,4, sfruttabili tramite il pannello di anteprima di Esplora file in Windows: CVE-2025-53731, CVE-2025-53733, CVE-2025-53740, CVE-2025-53784.

• Meccanismo: l’esecuzione del codice malevolo avviene localmente, ma il termine “remote” indica che l’attaccante può trovarsi su un sistema remoto e far eseguire il codice all’utente locale tramite documenti compromessi.
• Raccomandazione: aggiornamento completo di Office e Word per eliminare ogni rischio.

Vulnerabilità Cloud: Microsoft 365 Copilot BizChat (CVE-2025-53787), CVSS: 8,2

• Rischio: potenziale divulgazione di informazioni sensibili.
• Stato: già neutralizzata da Microsoft, senza necessità di intervento da parte degli utenti. La pubblicazione del CVE serve a garantire trasparenza sulla sicurezza dei servizi cloud.

Conclusioni e raccomandazioni

Il Patch Tuesday di agosto 2025 evidenzia l’importanza di intervenire tempestivamente sulle vulnerabilità critiche, soprattutto quelle che facilitano l’esecuzione remota di codice senza interazione dell’utente, come CVE-2025-50165 e CVE-2025-53766. La vulnerabilità zero-day in Kerberos richiede attenzione particolare, nonostante la necessità di privilegi elevati per l’exploit.

In definitiva, professionisti e team IT aziendali dovrebbero sempre verificare la superficie di attacco delle rispettive configurazioni in modo da accertare quali aggiornamenti Microsoft necessitino eventualmente di un’installazione tempestiva.

Per approfondire, suggeriamo di documentarsi con il consueto report mensile firmato da ISC-SANS ed esaminare il bollettino condiviso da Cisco-Talos.