Sintesi

Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 159 nuove vulnerabilità, di cui 8 di tipo 0-day.

Note: le CVE-2025-21333 , CVE-2025-21334 , CVE-2025-21335 risultano essere sfruttate attivamente in rete

Note: dei Proof of Concept (PoC) per lo sfruttamento delle CVE-2025-21186 , CVE-2025-21275 , CVE-2025-21308 , CVE-2025-21366 , CVE-2025-21395 risulterebbero disponibili in rete

Tipologia

• Remote Code Execution
• Security Feature Bypass
• Spoofing
• Elevation of Privilege
• Denial of Service
• Information Disclosure

Descrizione e potenziali impatti

Nel dettaglio, le vulnerabilità sfruttate attivamente in rete e/o per le quali risulta disponibile in rete anche un “proof of concept”, riguardano:

• Microsoft Access: identificate tramite le CVE-2025-21366, CVE-2025-21395 e CVE-2025-21186, di tipo ” Arbitrary Code Execution” e con score CVSS v3 pari a 7.8. Tali vulnerabilità potrebbero essere sfruttate tramite la distribuzione di documenti opportunamente predisposti al fine di eseguire codice arbitrario sui dispositivi target.
• Windows Hyper-V: identificate tramite le CVE-2025-21333, CVE-2025-21334 e CVE-2025-21335, di tipo ” Elevation of Privilege” e con score CVSS v3 pari a 7.8. Tali vulnerabilità risiedono nel servizio di integrazione del kernel NT (VSP) di Windows Hyper-V e potrebbe permettere l’ottenimento di privilegi di tipo SYSTEM sui dispositivi interessati tramite l’accesso non autorizzato a porzioni di memoria deallocate – use-after-free.
• Windows App Package Installer: identificata tramite la CVE-2025-21275, di tipo ” Elevation of Privilege” e con score CVSS v3 pari a 7.8. Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’ottenimento di privilegi di tipo SYSTEM sui dispositivi interessati.
• Windows Themes: identificata tramite la CVE-2025-21308, di tipo “Spoofing” e con score CVSS v3 pari a 6.5. Tale vulnerabilità potrebbe permettere ad un utente malevolo di distribuire documenti opportunamente predisposti tramite e-mail e/o messaggistica istantanea, esortando la vittima a manipolarli.

  NB: i sistemi con il protocollo NTLM disabilitato non risultano vulnerabili.

Prodotti e versioni affette:

• .NET, .NET Framework
• Active Directory Domain Services
• Active Directory Federation Services
• BranchCache
• IP Helper
• Hyper-V
• Line Printer Daemon Service (LPD)
• MapUrlToZone
• Microsoft Azure Gateway Manager
• Microsoft Brokering File System
• Microsoft Digest Authentication
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office Access
• Microsoft Office Excel
• Microsoft Office OneNote
• Microsoft Office Outlook
• Microsoft Office Outlook for Mac
• Microsoft Office SharePoint
• Microsoft Office Visio
• Microsoft Office Word
• Microsoft Teams
• Microsoft Windows Search Component
• Power Automate
• Reliable Multicast Transport Driver (RMCAST)
• Visual Studio
• Windows BitLocker
• Windows Boot Loader
• Windows Boot Manager
• Windows Client-Side Caching (CSC) Service
• Windows Cloud Files Mini Filter Driver
• Windows COM
• Windows Connected Devices Platform Service
• Windows Cryptographic Services
• Windows Digital Media
• Windows Direct Show
• Windows DWM Core Library
• Windows Event Tracing
• Windows Geolocation Service
• Windows Hello
• Windows Installer
• Windows Kerberos
• Windows Kernel Memory
• Windows Mark of the Web (MOTW)
• Windows Message Queuing
• Windows OLE
• Windows PrintWorkflowUserSvc
• Windows Recovery Environment Agent
• Windows Remote Desktop Services
• Windows Secure Boot
• Windows Smart Card
• Windows SmartScreen
• Windows SPNEGO Extended Negotiation
• Windows Telephony Service
• Windows Themes
• Windows UPnP Device Host
• Windows Virtual Trusted Platform Module
• Windows Virtualization-Based Security (VBS) Enclave
• Windows Web Threat Defense User Service
• Windows Win32K – GRFX
• Windows WLAN Auto Config Service

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di procedere all’aggiornamento dei prodotti impattati attraverso l’apposita funzione di Windows Update.