Patch Tuesday Microsoft settembre 2025: 177 vulnerabilità e rischi di futuri exploit

Il Patch Tuesday di settembre 2025 porta con sé una notevole mole di aggiornamenti destinati ai prodotti Microsoft: sono ben 177 le vulnerabilità corrette, e sebbene nessuna delle falle sia sfruttata attivamente al momento della pubblicazione, alcune presentano caratteristiche che rendono probabile la “nascita” di exploit nel prossimo futuro. Per questo motivo, Microsoft consiglia un’applicazione tempestiva degli aggiornamenti di sicurezza del mese.

Da parte nostra, come sempre consigliamo un’attenta analisi dei bollettini di sicurezza Microsoft. È fondamentale, soprattutto in ambito professionale e in ambienti aziendali, analizzare l’elenco delle vulnerabilità corrette e incrociarlo con i software e i componenti che si utilizzano nella propria rete. Per ridurre la superficie d’attacco, massima priorità dovrebbe essere riservata alle patch destinate ai servizi accessibili dall’esterno e a tutte quelle che possono essere sfruttate dai criminali informatici.

Vulnerabilità di maggiore interesse a settembre 2025 per i prodotti Microsoft

1. Gestione delle zone di sicurezza per gli URL (CVE-2025-54107, CVE-2025-54917). Microsoft assegna gli URL a zone di sicurezza differenti (“Intranet”, “Internet”, ecc.), applicando policy più o meno restrittive. A causa di un errore di classificazione, un attaccante potrebbe forzare l’inclusione di URL pericolosi in zone considerate sicure, bypassando le misure di sicurezza.
   Il rischio consiste ovviamente nel potenziale aggiramento dei meccanismi di difesa e nell’aumento della superficie d’attacco per le applicazioni che si basano sulle zone di sicurezza.
2. Remote Code Execution in NTFS (CVE-2025-54916). La patch Microsoft corregge l’eventualità di uno stack-buffer overflow nel file system NTFS. La vulnerabilità, adesso risolta, permetterebbe a un attaccante autenticato di eseguire codice da remoto, sfruttando il protocollo di rete.
   Vi è quindi la  possibilità di compromettere macchine Windows in ambienti enterprise sfruttando un vettore di rete. I prodotti interessati sono Windows 10, Windows 11, Windows Server (2008 → 2025).
3. Heap-based buffer overflow in Office (CVE-2025-54910). Classificato come Arbitrary Code Execution (ACE), questo bug si verifica in Microsoft Office (versioni 2016, 2019, LTSC 2021/2024 e 365 Apps). Sebbene Microsoft lo etichetti come RCE, la natura è locale: il codice è eseguito dal sistema vittima, ma il contenuto malevolo può provenire da remoto (es. un documento ricevuto via mail). La diffusione può avvenire tramite allegati Office apparentemente legittimi.
4. Vulnerabilità in Windows SMB v3 (CVE-2025-54101). Una situazione di use-after-free nel client/server SMB v3 per la condivisione di file e cartelle in Windows, può permettere l’esecuzione di codice remoto, a condizione che l’attaccante riesca a vincere una race condition. I prodotti impattati sono Windows 10, Windows 11 e Windows Server 2008 → 2022.
5. Vulnerabilità DirectX Graphics Kernel. Entrambe classificate da Microsoft come RCE, hanno comunque dinamiche locali e colpiscono varie versioni di Windows (client e server). CVE-2025-55226 riguarda un errore di sincronizzazione nell’uso concorrente di risorse condivise. L’effettivo sfruttamento presuppone la preparazione dell’ambiente target per aumentare l’affidabilità dell’exploit. CVE-2025-55236, invece, è una race condition ToC-ToU (Time-of-Check to Time-of-Use). Il problema di sicurezza si verifica quando Windows controlla una condizione (check) e poi usa una risorsa (use), ma tra il controllo e l’uso qualcun altro può modificare la risorsa. La falla di sicurezza può portare all’esecuzione di codice arbitrario tramite rendering grafico malevolo, con possibili scenari di attacco veicolati da immagini o contenuti multimediali.
6. Privilege escalation via NTLM e Kernel. Queste vulnerabilità sono particolarmente utili in scenari di post-exploitation: un accesso limitato è rapidamente trasformato in un pieno controllo del sistema. CVE-2025-54918: l’autenticazione impropria in NTLM consente a un attaccante autenticato di elevare i privilegi fino a SYSTEM su rete; CVE-2025-54093 / 54098 / 54110: escalation di privilegi tramite TCP/IP driver, Hyper-V e kernel di Windows.
7. Information Disclosure. Due falle nel kernel e nei driver in modalità kernel di Windows (CVE-2025-53803 / 53804) permettono la fuoriuscita di informazioni riservate dal contenuto della memoria, utili per bypassare altre protezioni (ASLR, DEP).

Note finali

Il Patch Tuesday di settembre 2025 non presenta vulnerabilità zero-day attivamente sfruttate, ma porta con sé un mix pericoloso di RCE, privilege escalation e bug nei meccanismi di autenticazione.

L’attenzione delle aziende dovrebbe concentrarsi sulle falle con maggiore probabilità di exploit (NTFS, SMB, NTLM e kernel), pur mantenendo un approccio metodico e aderente al proprio piano di vulnerability management.

Per approfondire, suggeriamo di fare riferimento all’analisi di ISC-SANS e all’approfondimento pubblicato dagli esperti di Cisco-Talos.