Dopo il corposo Patch Tuesday dello scorso gennaio, Microsoft ha rilasciato un pacchetto cumulativo di aggiornamenti ben più leggero per il mese di febbraio: sono, infatti, solo 63 le vulnerabilità corrette nel sistema operativo e nelle applicazioni correlate.
Tra queste, però, ci sono anche quattro zero-day di cui due già attivamente sfruttate in attacchi in rete.
Ricordiamo che, secondo la classificazione Microsoft, una vulnerabilità è di tipo zero-day quando è stata divulgata pubblicamente o sfruttata attivamente prima del rilascio di una correzione ufficiale.
Delle 63 vulnerabilità corrette con il Patch Tuesday di febbraio 2025, 3 sono state classificate con un indice di gravità critico, 57 come importanti, una come moderata e due con gravità bassa.
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli delle vulnerabilità zero-day
Come dicevamo, il Patch Tuesday di questo mese corregge due vulnerabilità zero-day sfruttate attivamente e due vulnerabilità esposte pubblicamente.
Le vulnerabilità zero-day già sfruttate in attacchi in rete
Le vulnerabilità zero-day sfruttate attivamente in attacchi in rete e corrette con gli ultimi aggiornamenti Microsoft sono le seguenti:
- CVE-2025-21391: vulnerabilità di tipo EoP (Elevation of Privilege, elevazione dei privilegi) in Windows Storage. Se attivamente sfruttata, questo problema di sicurezza può essere utilizzato per cancellare file sulle macchine esposte. “Un aggressore sarebbe in grado di eliminare solo file mirati su un sistema”, si legge nell’advisory di Microsoft. “Questa vulnerabilità non consente la divulgazione di informazioni riservate, ma potrebbe consentire a un aggressore di eliminare dati che potrebbero includere dati che comportano l’indisponibilità del servizio”, continua il bollettino di sicurezza. Al momento, non sono state rilasciate informazioni su come questa falla sia stata sfruttata negli attacchi e su chi l’abbia divulgata.
- CVE-2025-21418: anche questa vulnerabilità è di tipo EoP ed è stata identificata nel Windows Ancillary Function Driver for WinSock. Consente agli attori delle minacce di ottenere privilegi di sistema in Windows. Anche in questo caso, Microsoft non ha reso noto come sia stata utilizzata negli attacchi sottolineando, inoltre, che la falla è stata divulgata in forma anonima.
Le vulnerabilità zero-day divulgate pubblicamente
Le altre due vulnerabilità zero-day divulgate pubblicamente ma, per ora, non sfruttate in attacchi in rete sono le seguenti:
- CVE-2025-21194: vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Surface. Si tratta di un problema di sicurezza dell’hypervisor che consente agli attaccanti di bypassare l’UEFI e compromettere il kernel sicuro dei sistemi esposti. Come si legge nel relativo bollettino di sicurezza: “questa vulnerabilità dell’hypervisor riguarda le macchine virtuali all’interno di una macchina host Unified Extensible Firmware Interface (UEFI). Su alcuni hardware specifici potrebbe essere possibile bypassare l’UEFI, il che potrebbe portare alla compromissione dell’hypervisor e del kernel sicuro”. Non si hanno altri dettagli, al momento, su questa vulnerabilità.
- CVE-2025-21377: vulnerabilità di spoofing che consente la divulgazione degli hash NTLM di un utente Windows, consentendo a un aggressore remoto di accedere potenzialmente al sistema compromesso con gli stessi privilegi dell’utente. “Un’interazione minima con un file dannoso da parte di un utente, come la selezione (clic singolo), l’ispezione (clic destro) o l’esecuzione di un’azione diversa dall’apertura o dall’esecuzione del file, potrebbe innescare questa vulnerabilità”, spiega il bollettino di sicurezza pubblicato da Microsoft. Microsoft non abbia condiviso molti dettagli sulla vulnerabilità, ma è probabile che agisca come altre falle di divulgazione dell’hash NTLM già corrette in passato. In pratica, anche la semplice interazione con un file appositamente creato dagli attori della minaccia, senza la necessità di aprirlo, potrebbe causare la connessione remota di Windows a una condivisione remota e, attraverso questa, l’hash NTLM dell’utente verrebbe automaticamente inviato al server remoto controllato dagli attaccanti. Che, a quel punto, avrebbero la possibilità di decifrare il codice e ottenere la password in chiaro o utilizzarli in attacchi pass-the-hash.
Installiamo gli aggiornamenti Microsoft
L’analisi delle vulnerabilità evidenzia l’importanza di mantenere sempre aggiornati i propri sistemi e i software installati su di essi, soprattutto in un panorama tecnologico in rapida evoluzione dove le minacce alla sicurezza informatica sono sempre in agguato.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
