CSIRT Toscana Microsoft: rilevato sfruttamento di vulnerabilità zero-day (AL03/251103/CSIRT-ITA)
Data:
5 Novembre 2025
Impatto Sistemico
Critico (75.12)
Sintesi
È stato recentemente rilevato lo sfruttamento di una vulnerabilità zero-day che interessa i sistemi operativi Microsoft Windows e che può impattare gli ambienti in cui gli utenti interagiscono con file di tipo .LNK (scorciatoie di Windows) provenienti da fonti non affidabili. Tale vulnerabilità consentirebbe a un attaccante remoto di eseguire codice arbitrario sul sistema interessato.
Tipologia
Remote Code Execution
Descrizione e potenziali impatti
È stato recentemente rilevato lo sfruttamento di una vulnerabilità zero-day che interessa i sistemi operativi Microsoft Windows e che può impattare gli ambienti in cui gli utenti interagiscono con file di tipo .LNK (scorciatoie di Windows) provenienti da fonti non affidabili.
La vulnerabilità, identificata come CVE-2025-9491 e con score CVSS v3.1 pari a 7.8, è di tipo “Remote Code Execution”, e consentirebbe a un attaccante remoto di eseguire codice arbitrario sul sistema interessato.
Per sfruttare questa vulnerabilità è necessaria l’interazione dell’utente: la vittima deve visitare una pagina web malevola e/o aprire un file dannoso. Il problema risiede in una gestione impropria dei file .LNK: inserendo dati opportunamente predisposti all’interno di un file .LNK, un attaccante può nascondere contenuti malevoli all’utente che lo visualizza tramite l’interfaccia grafica di Windows, inducendolo a credere che il file sia legittimo così da consentire l’esecuzione di codice arbitrario sul sistema interessato.
In particolare, è stato osservato che la vulnerabilità è stata sfruttata in una campagna di diffusione del malware PlugX. La particolarità dello sfruttamento risiede nel fatto che il file .LNK invoca comandi PowerShell che decodificano ed estraggono localmente un archivio contenuto nello zip salvato nella cartella temporanea: dall’archivio vengono poi lanciati più componenti (loader, DLL malevola, payload cifrato). Questo approccio limita i download remoti aggiuntivi, rende più difficile l’individuazione tramite controlli di rete e può facilitare l’esecuzione offline del codice malevolo.
Prodotti e/o versioni affette
Microsoft Windows
Azioni di mitigazione
In attesa del rilascio di una patch e/o di azioni di mitigazione volte a sanare la vulnerabilità da parte di Microsoft, le organizzazioni possono far fronte a questa tipologia di attacchi fornendo al personale sessioni di formazione finalizzate a riconoscere estensioni potenzialmente nocive e file sospetti, in particolare se la loro apertura viene sollecitata da mittenti non conosciuti.
Riferimenti
- https://www.zerodayinitiative.com/advisories/ZDI-25-148/
- https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/
CVE
| CVE-ID |
|---|
| CVE-2025-9491 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 03-11-2025 | 03/11/2025 |
| 1.1 | Aggiornamento sezione “CVE”. Disponibile in rete un PoC per lo sfruttamento della CVE-2025-9491. | 05/11/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
5 Novembre 2025, 12:30