Impatto Sistemico

Critico (77.94)

Sintesi

Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 68 nuove vulnerabilità, 2 di tipo 0-day.

Note : il vendor afferma che un exploit per la CVE-2025-33073 risulta disponibile in rete.

Note : il vendor afferma che la CVE-2025-33053 risulta essere sfruttata attivamente in rete.

Note : un Proof of Concept (PoC) per lo sfruttamento della CVE-2025-47176 risulta disponibile in rete.

Tipologia

• Spoofing
• Information Disclosure
• Denial of Service
• Remote Code Execution
• Elevation of Privilege
• Security Feature Bypass

Descrizione e potenziali impatti

Nel dettaglio le vulnerabilità sfruttate attivamente e/o per alcune delle quali risulta disponibile in rete anche un “proof of concept”, riguardano:

WebDAV : identificata tramite la CVE-2025-33053, di tipo “Remote Code Execution” e con score CVSS v3 pari a 8.8. La vulnerabilità interessa il servizio Web Distributed Authoring and Versioning (WebDAV) di Windows, implementato tramite il servizio WebClient: tramite la distribuzione di file .URL opportunamente predisposti è possibile manipolare la directory di lavoro di un processo legittimo – appositamente indicato nel parametro “URL=” del file – consentendo il caricamento e l’esecuzione di codice malevolo da una risorsa remota controllata dall’attaccante.

SMB Client : identificata tramite la CVE-2025-33073, di tipo “Privilege Escalation” e con score CVSS v3 pari a 8.8. La vulnerabilità riguarda la componente client del protocollo SMB (Server Message Block) ed è causata dall’applicazione di meccanismi di controllo inadeguati durante le fasi di autenticazione o negoziazione lato client che potrebbero consentire ad un attaccante l’elevazione dei propri privilegi sui dispositivi target.

Nel dettaglio, l’attacco sfrutta una tecnica nota come ” Authentication Coercion ” per costringere il computer vittima a inviare una richiesta di autenticazione Kerberos verso un server malevolo controllato dall’attaccante. Il ticket Kerberos ottenuto viene quindi “riflesso” ( relay attack ) nuovamente verso lo stesso bersaglio. In modo inaspettato, il sistema accetta questo ticket come valido e concede all’attaccante i privilegi di NT AUTHORITY\SYSTEM — i più elevati in ambiente Windows — permettendogli potenzialmente di eseguire codice arbitrario sul sistema target.

Ulteriori dettagli disponibili al link all’analisi riportato nella sezione Riferimenti.

Prodotti e/o versioni affette

• .NET and Visual Studio
• App Control for Business (WDAC)
• Microsoft 365 Copilot
• Microsoft AutoUpdate (MAU)
• Microsoft Local Security Authority Server (lsasrv)
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Office PowerPoint
• Microsoft Office SharePoint
• Microsoft Office Word
• Nuance Digital Engagement Platform
• Power Automate
• Remote Desktop Client
• Visual Studio
• WebDAV
• Windows Common Log File System Driver
• Windows Cryptographic Services
• Windows DHCP Server
• Windows DWM Core Library
• Windows Hello
• Windows Installer
• Windows KDC Proxy Service (KPSSVC)
• Windows Kernel
• Windows Local Security Authority (LSA)
• Windows Local Security Authority Subsystem Service (LSASS)
• Windows Media
• Windows Netlogon
• Windows Recovery Driver
• Windows Remote Access Connection Manager
• Windows Remote Desktop Services
• Windows Routing and Remote Access Service (RRAS)
• Windows SDK
• Windows Security App
• Windows Shell
• Windows SMB
• Windows Standards-Based Storage Management Service
• Windows Storage Management Provider
• Windows Storage Port Driver
• Windows Win32K – GRFX

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di procedere all’aggiornamento dei prodotti impattati attraverso l’apposita funzione di Windows Update.