Microsoft corregge 81 vulnerabilità critiche nel Patch Tuesday: Settembre 2025

Riassunto per tutti gli utenti

Settembre 2025 segna un nuovo importante passo nella sicurezza IT con il rilascio del Patch Tuesday di Microsoft, che ha corretto 81 vulnerabilità, incluse due zero-day pubblicamente divulgate ma non sfruttate attivamente. Le correzioni coinvolgono Windows, Office e servizi cloud come Azure e SQL Server. Consigli principali: aggiorna subito i sistemi, dai priorità ai server Windows e Cluster HPC, verifica la compatibilità delle nuove impostazioni di sicurezza e monitora gli asset critici anche nei giorni successivi.

Microsoft Patch Tuesday settembre 2025: tutte le novità

Cosa è stato corretto?

Le patch rilasciate da Microsoft a settembre 2025 affrontano un totale di 81 vulnerabilità di sicurezza. Di queste, almeno 8 sono considerate “Critiche” perché possono essere sfruttate da attaccanti per ottenere il controllo remoto dei sistemi senza l’interazione della vittima.

Le vulnerabilità sanate riguardano sia i sistemi operativi Windows che applicazioni come Office, SQL Server e anche infrastrutture cloud come Azure e componenti specifici come Hyper-V, Defender Firewall e Xbox.

Tipologia delle vulnerabilità risolte:

• 41 escalation dei privilegi
• 22 esecuzioni di codice remoto (RCE)
• 16 leakage di informazioni
• 2 bypass delle misure di sicurezza
• 3 denial of service (DoS)
• 1 spoofing

Due zero-day pubblici ma “non attivi”

Un aspetto rassicurante di questo ciclo di aggiornamenti è che le due vulnerabilità zero-day divulgate pubblicamente (CVE-2025-55234 e CVE-2024-21907) non risultano attivamente sfruttate. Microsoft e i principali osservatori di sicurezza le classificano come “exploitation less likely” o “unlikely”, cioè a basso rischio di sfruttamento grazie alla rapidità degli aggiornamenti rilasciati.

Dettaglio sui due zero-day:

• CVE-2025-55234 (CVSS 8.8): colpisce Windows SMB Server, permette attacchi di relay che possono portare all’escalation dei privilegi. Microsoft suggerisce, oltre all’aggiornamento, di abilitare la firma SMB (“SMB signing”) o l’Enhanced Protection for Authentication (“EPA”), pur segnalando che queste misure possono creare incompatibilità con sistemi legacy. L’update di settembre introduce anche nuove funzionalità di audit per facilitare il monitoraggio.
• CVE-2024-21907 (CVSS 7.5): interessa la libreria open source Newtonsoft.Json utilizzata in SQL Server. Un attaccante può indurre una StackOverflow Exception e quindi negare il servizio. La correzione implica l’aggiornamento delle librerie JSON alle nuove versioni.

La vulnerabilità più grave: rischio “worm”

Massima attenzione viene posta su CVE-2025-55232, con un punteggio CVSS di 9.8. Colpisce Microsoft HPC Pack, una soluzione utilizzata per il calcolo ad alte prestazioni (in ambito scientifico, simulazione, ricerca). Questa falla permette una esecuzione di codice da remoto senza autenticazione e senza interazione dell’utente, rendendo il rischio di propagazione automatica (“wormabile”) elevato nelle installazioni di cluster con l’HPC Pack.

Azioni consigliate da Microsoft e dagli esperti:

• Segmentare i cluster HPC in enclavi sicure
• Bloccare la porta TCP 5999 tramite firewall
• Applicare urgentemente la patch

Altre vulnerabilità critiche

Oltre alle minacce principali, sono state risolte altre criticità ritenute “più suscettibili” di sfruttamento:

• CVE-2025-54918: un’autenticazione NTLM difettosa su Windows può consentire l’escalation dei privilegi (fino a SYSTEM) tramite pacchetti di rete manipolati. L’attaccante deve già possedere credenziali NTLM valide, ma la vulnerabilità è comunque molto rilevante in aziende con distribuzioni ampie e uso di NTLM.
• Diverse falle remote code execution (RCE), in particolare in Office e negli engine di scripting Windows, con rischio elevato per chi usa macro o contenuti esterni non controllati.

Focus sugli ambienti più esposti

Le patch interessano sia utenti privati che aziende, ma il rischio maggiore si concentra nei contesti:

• Enterprise (server Windows, cluster, database SQL)
• Ambienti cloud e virtualizzazione
• Infrastrutture legacy che possono avere incompatibilità con le nuove funzioni di sicurezza
• Utilizzo di soluzioni open source integrate (come Newtonsoft.Json) che vanno aggiornate insieme agli ambienti Microsoft

Raccomandazioni per utenti e aziende

Consigli semplici e immediati:

• Aggiorna tutti i dispositivi Windows e Office non appena possibile per ridurre l’esposizione.
• Verifica la compatibilità delle soluzioni di sicurezza avanzate, come la firma SMB e le nuove policy introdotte.
• Controlla che la porta TCP 5999 sia bloccata sui cluster HPC e che siano segmentati dai sistemi produttivi.
• Aggiorna anche strumenti cloud e componenti terze parti, soprattutto se integrati con SQL Server o Azure.
• Monitora i log delle attività insolite nei giorni e nelle settimane successive all’aggiornamento.

Approfondimento tecnico: i dettagli delle minacce e come proteggersi al meglio

Con l’aumento delle vulnerabilità corrette nel 2025 rispetto all’anno precedente, emerge una tendenza verso una sempre maggiore complessità nei sistemi da proteggere. L’incremento di reporting e fix è segnale sia di una migliore collaborazione tra Microsoft e i security researcher che, parallelamente, di un ecosistema IT sempre più vasto e diversificato, dall’IoT a cloud, fino a videogiochi e ambienti scientifici.

Analisi dei principali CVE:

• CVE-2025-55234 (SMB Server/relay):

  • L’attacco sfrutta la debolezza di autenticazione nel protocollo SMB.
  • Abilitare SMB signing e EPA riduce il rischio, ma può compromettere la compatibilità con dispositivi o software non aggiornati. Possibile necessità di rivedere le architetture di rete e segmentare i dispositivi legacy.

• CVE-2025-55232 (HPC Pack RCE):

  • Di particolare rilievo in contesti dove i cluster sono accessibili da reti non segregate.
  • Bloccare la porta specifica e applicare la patch sono azioni indispensabili.

• CVE-2025-54918 (Windows NTLM):

  • Sebbene il gap richieda conoscenza pregressa delle credenziali NTLM, la vulnerabilità semplifica le escalation importanti. Fondamentale per chi adotta ancora NTLM in ambienti Active Directory.

• CVE-2024-21907 (SQL Server/JSON):

  • Ricorda l’importanza dell’aggiornamento anche delle dipendenze open source, integrando patch di sicurezza di terze parti ai tradizionali aggiornamenti Microsoft.

Rischi correlati e best practice

• Non trascurare update di altri vendor: parallelamente a Microsoft, anche Adobe, Android e altri hanno rilasciato patch per zero-day gravissimi (es. WhatsApp, WinRAR, Android). In una strategia di sicurezza efficace, la reattività deve essere su tutto l’ecosistema applicativo.
• Policy di audit e monitoraggio: non affidarsi solo all’update; configurare audit specifici per SMB, Hyper-V e autenticazioni sospette su NTLM.

Consigli di sicurezza avanzata:

• Esegui scanning periodici su tutti i sistemi critici, soprattutto cluster e server esposti.
• Implementa segmentazione di rete per minimizzare l’esposizione dei servizi critici (ad esempio cluster HPC).
• Definisci playbook di risposta rapida per l’escalation di incidenti, soprattutto in presenza di vulnerabilità “wormabili”.
• Predisponi sistemi di alerting su anomalie legate ad autenticazioni NTLM o a traffico sulla porta TCP 5999.
• Programma revisioni periodiche delle policy di compatibilità, soprattutto RPC, SMB e NTLM, investendo in formazione per amministratori IT e SOC.

La tempestività, la segmentazione e la personalizzazione dei piani di patching sono oggi i pilastri per mitigare rischi in ambienti sempre più eterogenei e complessi. Aggiorna, monitora, segmenta, forma il tuo personale e agisci in modo proattivo: solo così ridurrai le superfici d’attacco e potrai fronteggiare efficacemente le emergenze di sicurezza future.

Fonte: https://gbhackers.com/microsoft-september-2025-patch-tuesday