Patch Tuesday di settembre 2025: Microsoft corregge vulnerabilità critiche e due zero-day

Microsoft corregge vulnerabilità critiche e due zero-day: patch Tuesday di settembre 2025

Il Patch Tuesday di settembre 2025 di Microsoft segna un aggiornamento di sicurezza fondamentale: i tecnici hanno risolto oltre 80 vulnerabilità, tra cui due pericolosi zero-day e numerosi bug classificati come critici. I rischi riguardano principalmente l’elevazione dei privilegi, l’esecuzione di codice da remoto e la divulgazione di informazioni sensibili. La gravità di alcune falle, specie quelle relative a Windows NTLM e alle librerie utilizzate in SQL Server, richiede una risposta immediata da parte di aziende e utenti.
Aggiorna subito i sistemi, verifica la copertura su tutti i dispositivi aziendali, e presta particolare attenzione ai software che utilizzano autenticazione NTLM o SQL Server.

Introduzione: cos’è il Patch Tuesday e perché è importante settembre 2025

Ogni secondo martedì del mese, Microsoft pubblica un pacchetto di aggiornamenti chiamato “Patch Tuesday”, essenziale per la cyber-sicurezza in tutto il mondo. Quello di settembre 2025 si distingue in particolare per il numero e la criticità delle vulnerabilità corrette, molte delle quali potrebbero consentire attacchi devastanti contro infrastrutture aziendali e dati personali:

  • Oltre 80 vulnerabilità corrette, di cui 8-9 considerate “critiche”
  • Due vulnerabilità zero-day, già pubblicamente note e potenzialmente sfruttabili
  • Focus su tecniche di attacco quali elevazione dei privilegi, esecuzione di codice da remoto e divulgazione non autorizzata di dati

Questo aggiornamento interessa l’intero ecosistema Microsoft: Windows (tutte le versioni attualmente supportate), Office, SQL Server, Hyper-V, protocolli di autenticazione NTLM, TCP/IP, e componenti grafici.

Le vulnerabilità più pericolose: focus su zero-day e bug critici

CVE-2025-55234: Elevation of Privilege in Windows SMB / NTLM

Una delle vulnerabilità più importanti corrette questo mese coinvolge il protocollo SMB (Server Message Block) e NTLM, nel cuore dei processi di autenticazione delle reti Windows. Un attaccante autenticato potrebbe sfruttare la falla per ottenere privilegi da amministratore, aggirando i controlli di sicurezza di rete e muovendosi lateralmente all’interno dell’infrastruttura IT. Questo tipo di attacco, noto come “relay attack”, può compromettere interi domini se non viene mitigato.

CVE-2024-21907: Denial of Service in Newtonsoft.Json (SQL Server)

Seconda vulnerabilità zero-day corretta: un bug nella libreria Newtonsoft.Json usata da SQL Server. Qui, l’invio di un oggetto dati appositamente costruito può generare un’eccezione di tipo Stack Overflow, causando il crash del servizio SQL. Si tratta di una minaccia primaria alla disponibilità delle basi dati aziendali.

Altri bug critici e rischi in evidenza

  • Diverse falle di escalation dei privilegi su Windows NTLM (CVE-2025-54918 in particolare): rischio concreto di compromissione degli account di sistema.
  • Almeno otto vulnerabilità di esecuzione di codice da remoto: potenziale per attacchi wormabili, ossia in grado di diffondersi autonomamente tra sistemi vulnerabili.
  • Diversi bug su Office, Hyper-V e componenti di rete che potrebbero essere sfruttati per ottenere informazioni riservate o eseguire codice con pochi privilegi.
  • Alcune vulnerabilità richiedono interazione dell’utente (per esempio apertura di file malevoli), ma altre possono essere attivate da remoto e in maniera automatica.

Analisi statistica e trend

Microsoft ha risolto, rispetto allo stesso periodo dell’anno scorso, un numero sensibilmente superiore di vulnerabilità, superando la soglia dei 100 bug in più rispetto al 2024.
Quasi la metà delle falle coinvolge elevazione di privilegi, il 25% circa riguarda esecuzione di codice da remoto, e il resto si distribuisce tra perdita di informazioni, denial of service e bypass di security feature.
La complessità e la superficie di attacco dell’ecosistema Microsoft continuano quindi a rappresentare una sfida sia per le aziende che per i team di sicurezza.

Azioni consigliate: come proteggersi subito

Per utenti privati:

  • Aggiornare immediatamente il sistema operativo e tutti i prodotti Microsoft tramite Windows Update.
  • Prestare particolare attenzione a e-mail e file sospetti, specialmente quelli provenienti da fonti sconosciute.
  • Usare sempre password complesse e, dove possibile, l’autenticazione a due fattori (2FA).

Per amministratori IT e aziende:

  • Distribuire gli aggiornamenti di settembre 2025 urgentemente su tutti i sistemi, in particolare quelli che gestiscono ruoli critici come DC, file server, SQL Server e macchine virtuali Hyper-V.
  • Monitorare e aggiornare i servizi che usano autenticazione NTLM: valutare la sostituzione del protocollo ormai obsoleto nei nuovi deployment.
  • Effettuare una scansione di vulnerabilità interna per identificare sistemi ancora scoperti e correggere rapidamente le falle.
  • Implementare strumenti e politiche di segmentazione di rete, limitando il movimento laterale di utenti e processi (privilege isolation).
  • Rivedere i log di sicurezza per individuare eventuali tentativi di exploit già avvenuti.

Focus: dettaglio tecnico delle vulnerabilità zero-day

SMB/NTLM Privilege Escalation (CVE-2025-55234)

Questa vulnerabilità sfrutta i meccanismi di autenticazione “challenge/response” tipici di NTLM. Un attore con accesso a credenziali valide su una macchina compromessa può utilizzare attacchi di tipo “relay” per ottenere, in determinati scenari, privilegi SYSTEM su altri host della stessa rete.
Essendo tecniche già note e amatissime dai gruppi ransomware, l’urgenza dell’aggiornamento non può essere sottovalutata.

Denial of Service in Newtonsoft.Json (CVE-2024-21907)

Il bug interessa tutte le versioni di SQL Server che usano Newtonsoft.Json per deserializzare oggetti esterni. Un attaccante potrebbe crare payload XML o JSON in grado di mandare in crash il database, interrompendo servizi e bloccando operatività di business. Microsoft ora ha distribuito un fix ufficiale all’interno dei prodotti supportati.

Impatto business e rischi di non aggiornare

  • Esposizione a ransomware e malware avanzati: privilegio SYSTEM significa poter neutralizzare difese antivirus, cifrare dati o diffondersi lateralmente.
  • Perdita di dati e interruzione di servizio: Crash di SQL Server, leak di informazioni protette, blocco degli applicativi mission-critical.
  • Maggior rischio di attacchi mirati alle PMI: Chi non aggiorna rischia di trasformarsi in punto di ingresso per campagne criminali dirette a supply chain e grandi imprese.

Azioni approfondite finali:

  • Pianifica un test di Business Continuity per simulare scenari di exploit sulle vulnerabilità zero-day appena corrette.
  • Implementa sistemi di rilevamento avanzati (EDR/XDR) per tracciare eventuali comportamenti anomali legati a escalation di privilegi e code execution.
  • Valuta l’abbandono definitivo delle autenticazioni NTLM laddove possibile, sostituendole con meccanismi più robusti come Kerberos.
  • Condividi il bollettino e la checklist di rischio ai responsabili dei processi aziendali critici, per massimizzare la copertura patch e sensibilizzare sulle minacce correnti.
  • Mantieni la documentazione di patching aggiornata e verifica che le soluzioni di backup siano configurate correttamente e funzionino coi sistemi aggiornati.

Fonte: https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2025-patch-tuesday-fixes-81-flaws-two-zero-days

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto