Samsung Magician: falla critica permette a chiunque di diventare amministratore su Windows, aggiorna subito!

Samsung ha rilasciato un aggiornamento di sicurezza per il suo software Magician, strumento ufficiale per la gestione delle unità SSD dell’azienda. La distribuzione della nuova release di Samsung Magician si è resa necessaria dopo la scoperta di una vulnerabilità classificata come “high severity”. Il problema, identificato con l’identificativo CVE‑2025‑57836, riguarda esclusivamente la versione Windows del software e può consentire a utenti non amministratori di ottenere privilegi elevati tramite DLL hijacking.

La natura della vulnerabilità in Samsung Magician

La falla scoperta e corretta in Samsung Magician è dovuta al modo in cui l’installer del software crea una cartella temporanea durante l’installazione. Tale cartella, avente permessi insufficienti, può essere sfruttata da un utente con privilegi limitati per sostituire o aggiungere file DLL malevoli.

Alla successiva esecuzione del software, tali file potrebbero essere caricati dal programma, consentendo all’attaccante di creare nuovi account amministrativi; modificare file di sistema critici; eseguire qualsiasi azione tipicamente riservata a un amministratore. In pratica, un malintenzionato con accesso locale potrebbe scalare i privilegi fino ad assumere il pieno controllo del sistema.

Come funzionano gli attacchi DLL hijacking

È proprio il “sale” degli attacchi di DLL hijacking: come abbiamo spiegato nell’articolo citato nell’introduzione, queste aggressioni sfruttano il modo in cui il sistema operativo ricerca e carica le librerie DLL all’avvio di una qualsiasi applicazione. Se questo meccanismo non è gestito correttamente dallo sviluppatore, un attaccante può forzare il caricamento di una DLL malevola al posto di quella legittima.

Quando un’applicazione richiede una DLL senza specificarne il percorso assoluto, Windows segue un ordine di ricerca predefinito: directory dell’eseguibile, directory di sistema (System32), directory di sistema a 16 bit, directory di Windows, directory di lavoro corrente, directory elencate nella variabile d’ambiente PATH. Se una DLL con lo stesso nome di quella attesa viene trovata prima della DLL legittima, Windows la carica senza verificarne l’origine o la firma.

Un attaccante può quindi individuare un’applicazione che carica DLL senza path esplicito; scopre una directory scrivibile dall’utente (o temporanea) presente nel percorso di ricerca; inserisce una DLL malevola con lo stesso nome di quella richiesta; attende che l’applicazione sia eseguita. Quando il programma si avvia, esso carica la DLL malevola, che viene eseguita con i privilegi del processo.

Il rischio diventa critico quando l’applicazione vulnerabile è eseguita con privilegi elevati (es. installer o servizio); la DLL è caricata durante l’installazione o l’aggiornamento; le directory temporanee hanno permessi deboli. In tutti questi casi, un utente non amministratore può ottenere privilegi SYSTEM o Administrator, portando a una privilege escalation locale.

Perché aggiornare Samsung Magician

È vero che l’attacco di DLL hijacking può avvenire in ambito locale, tuttavia gli aggressori sono continuamente alla ricerca di metodi affidabili per eseguire codice arbitrario con i privilegi più elevati possibile. Pensate a un codice malevolo che riesca a far breccia, attraverso altre modalità, sul PC Windows dell’utente: sfruttando la vulnerabilità in Samsung Magician, un’aggressione che parte da remoto può comunque assumere il controllo completo del sistema e, successivamente, avviare movimenti laterali all’interno della rete locale.

Le versioni vulnerabili di Samsung Magician vanno dalla 6.3.0 fino alla 8.3.2, quindi quasi tutte le release rilasciate tra il 2021 e il 2025. La vulnerabilità era stata segnalata a Samsung l’11 agosto 2025 dal ricercatore di sicurezza Sandro Poppi, e i dettagli sono stati resi pubblici il 4 gennaio 2026.

Gli utenti sono quindi fortemente consigliati ad aggiornare subito alla versione 9.0.0, che risolve la falla e introduce un completo rinnovamento dell’interfaccia utente e dell’esperienza d’uso (UI/UX).

Perché usare Samsung Magician

Samsung Magician rimane uno strumento molto apprezzato dagli utenti di SSD Samsung, grazie alle funzionalità avanzate che offre, tra cui:

• Migrazione di dati, applicazioni e sistema operativo da vecchi a nuovi dispositivi di storage.
• Protezione dei dati tramite crittografia e cancellazione sicura.
• Ottimizzazione delle prestazioni.
• Monitoraggio dello stato di salute dell’unità.
• Aggiornamento firmware delle unità.
• Autenticazione del drive per una maggiore sicurezza.

Samsung distribuisce il software per Windows, macOS e Android, ma la vulnerabilità CVE‑2025‑57836, come indicato in precedenza, riguarda esclusivamente la versione Windows.