Impatto Sistemico

Critico (76.66)

Sintesi

Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 165 nuove vulnerabilità, di cui due di tipo 0-day.

Tipologia

• Denial of Service
• Elevation of Privilege
• Information Disclosure
• Remote Code Execution
• Security Feature Bypass
• Spoofing
• Tampering

Descrizione e potenziali impatti

Nel dettaglio le vulnerabilità sfruttate attivamente o per le quali risulta disponibile in rete anche un “proof of concept”, riguardano:

• Microsoft SharePoint Server : identificata tramite la CVE-2026-32201, di tipo “ Spoofing ” e con score CVSS v3.1 pari a 6.5, interessa le istanze Microsoft SharePoint Server ed è causata da un’inadeguata validazione dell’input ( Improper Input Validation ). Nel dettaglio, un attaccante potrebbe sfruttare tale vulnerabilità per impersonare un’entità legittima sui sistemi target.
• Microsoft Defender Antimalware Platform: questo CSIRT ha analizzato e testato la CVE-2026-33825, nota con il nome di “BlueHammer”, di tipo “ Elevation of Privilege ” e con score CVSS v3.1 pari a 7.8, che interessa Microsoft Defender Antimalware Platform. In dettaglio, è stato verificato che la vulnerabilità è riconducibile a una condizione di tipo TOCTOU ( Time Of Check Time Of Use ) sfruttabile tramite una “ race condition ” tra il processo di scansione dei file di Microsoft Defender e la manipolazione del Volume Shadow Copy. Tale condizione può consentire l’elusione del rilevamento di payload malevoli senza alterare il comportamento percepito dall’utente. In presenza di un controllo insufficiente sui meccanismi di accesso ai percorsi e alle risorse utilizzate dal motore di Defender, un attaccante già autenticato localmente potrebbe sfruttare la vulnerabilità per elevare i propri privilegi fino al livello SYSTEM sui sistemi interessati. Gli aggiornamenti rilasciati da Microsoft hanno risolto la vulnerabilità rafforzando le ACL ( Access Control Lists ) sui percorsi sensibili utilizzati dalla piattaforma Antimalware, limitando l’interazione degli utenti non amministratori. Inoltre, sono stati migliorati i meccanismi di identificazione e validazione dei processi che richiedono l’interazione con i componenti principali di sicurezza.

Prodotti e versioni affette

• .NET
• .NET Framework
• .NET and Visual Studio
• .NET, .NET Framework, Visual Studio
• Applocker Filter Driver (applockerfltr.sys)
• Azure Logic Apps
• Azure Monitor Agent
• Desktop Window Manager
• Function Discovery Service (fdwsd.dll)
• GitHub Copilot and Visual Studio Code
• Microsoft Brokering File System
• Microsoft Defender
• Microsoft Dynamics 365 (on-premises)
• Microsoft Edge (Chromium-based)
• Microsoft Graphics Component
• Microsoft High Performance Compute Pack (HPC)
• Microsoft Management Console
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office PowerPoint
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft Power Apps
• Microsoft PowerShell
• Microsoft Windows
• Microsoft Windows Search Component
• Microsoft Windows Speech
• Remote Desktop Client
• Role: Windows Hyper-V
• SQL Server
• Universal Plug and Play (upnp.dll)
• Windows Active Directory
• Windows Admin Center
• Windows Advanced Rasterization Platform
• Windows Ancillary Function Driver for WinSock
• Windows Biometric Service
• Windows BitLocker
• Windows Boot Loader
• Windows Boot Manager
• Windows COM
• Windows Client Side Caching driver (csc.sys)
• Windows Cloud Files Mini Filter Driver
• Windows Common Log File System Driver
• Windows Container Isolation FS Filter Driver
• Windows Cryptographic Services
• Windows Encrypting File System (EFS)
• Windows File Explorer
• Windows GDI
• Windows HTTP.sys
• Windows Hello
• Windows IKE Extension
• Windows Installer
• Windows Kerberos
• Windows Kernel
• Windows Kernel Memory
• Windows LUAFV
• Windows Local Security Authority Subsystem Service (LSASS)
• Windows Management Services
• Windows OLE
• Windows Print Spooler Components
• Windows Projected File System
• Windows Push Notifications
• Windows RPC API
• Windows Recovery Environment Agent
• Windows Redirected Drive Buffering
• Windows Remote Desktop
• Windows Remote Desktop Licensing Service
• Windows Remote Procedure Call
• Windows SSDP Service
• Windows Sensor Data Service
• Windows Server Update Service
• Windows Shell
• Windows Snipping Tool
• Windows Speech Brokered Api
• Windows Storage Spaces Controller
• Windows TCP/IP
• Windows TDI Translation Driver (tdx.sys)
• Windows USB Print Driver
• Windows Universal Plug and Play (UPnP) Device Host
• Windows User Interface Core
• Windows Virtualization-Based Security (VBS) Enclave
• Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys)
• Windows WalletService
• Windows Win32K – GRFX
• Windows Win32K – ICOMP

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di procedere all’aggiornamento dei prodotti impattati attraverso l’apposita funzione di Windows Update.