Negli ultimi giorni, Microsoft ha corretto due pericolose vulnerabilità di sicurezza che colpiscono BitLocker, la funzione di cifratura integrata nei sistemi Windows. Questi difetti consentivano a malintenzionati di ottenere privilegi elevati ed eseguire codice malevolo, aggirando le protezioni pensate per difendere i tuoi dati personali e aziendali.
Aggiorna subito il tuo sistema operativo Windows con le ultime patch.
Controlla che BitLocker sia configurato correttamente e mantieni sempre attivi i backup dei tuoi dati.
Cos’è successo: scoperta e correzione di due falle critiche
Il 9 settembre 2025 sono state rese pubbliche due gravi vulnerabilità, denominate CVE-2025-54911 e CVE-2025-54912, che affliggevano BitLocker su Windows 10 e Windows 11. Entrambe sono classificate come bug di tipo use-after-free, una tipologia di errore nella gestione della memoria che può essere sfruttata da attaccanti locali per ottenere privilegi elevati (fino al livello di SYSTEM) aggirando i normali meccanismi di sicurezza della cifratura dei dischi.
Questa tipologia di vulnerabilità si verifica quando un programma tenta di utilizzare una porzione di memoria già liberata (deallocata). Nel caso di BitLocker, un utente autorizzato o un malware già presente sul dispositivo poteva manipolare la memoria nelle fasi di gestione della cifratura/discifratura, portando il sistema a eseguire codice arbitrario.
Se sfruttate, queste falle permettevano di superare i controlli di protezione, installare malware invisibili e accedere a dati sensibili anche in presenza della cifratura.
Gravità tecnica e valutazione del rischio
Microsoft ha valutato i due bug con punteggi CVSS di 7.3 e 7.8, considerandoli di “importanza elevata”. Secondo l’azienda, l’attacco richiede necessariamente l’accesso locale al dispositivo e una qualche forma di interazione da parte dell’utente, aspetto che ne riduce – ma non elimina – la pericolosità nello scenario reale.
Tuttavia, la gravità risiede nel fatto che qualsiasi malware già in esecuzione con privilegi restritti potrebbe subito elevarsi ai massimi privilegi sfruttando queste falle, compromettendo completamente la sicurezza della macchina.
Questo rischio riguarda principalmente ambienti dove più utenti utilizzano la stessa postazione (es. PC condivisi aziendali o laboratori) e sistemi non aggiornati.
Microsoft ha sottolineato che, al momento della divulgazione, non risultavano attacchi noti “in the wild”, ma invita a non sottovalutare il rischio, vista la velocità con cui i cybercriminali spesso integrano nuove vulnerabilità nelle proprie campagne.
L’approccio di Microsoft e la collaborazione coi ricercatori
Le vulnerabilità sono state rilevate grazie anche alla collaborazione con ricercatori esterni come Hussein Alrubaye, che ha ricevuto credito ufficiale per la scoperta. Questo caso dimostra l’importanza della collaborazione tra industria e community di ricerca per prevenire danni diffusi e per correggere rapidamente i difetti individuati.
La correzione è avvenuta tramite la distribuzione delle patch nella giornata di Patch Tuesday del 10 settembre 2025, insieme ad altri 80 bug risolti (di cui 9 “critici”) riguardanti Windows e software Microsoft.
BitLocker nel mirino: contesto e precedenti
BitLocker è da anni uno dei meccanismi di cifratura più diffusi in ambito desktop, adottato sia in organizzazioni che tra utenti privati per proteggere dati sensibili: documenti, email, archivi, informazioni personali e aziendali. Tuttavia, la complessità della gestione delle chiavi di cifratura e delle interazioni hardware-software crea un’ampia superficie d’attacco.
Non è la prima volta che BitLocker si trova al centro di vulnerabilità serie: solo nei mesi scorsi erano già stati corretti altri quattro bug che permettevano il bypass della cifratura agendo su file di configurazione o componenti del boot del sistema. Anche in quei casi, era richiesto l’accesso fisico o privilegiato al dispositivo, ma resta l’evidenza che ogni falla può rappresentare una porta d’ingresso per attacchi mirati o campagne di cyberspionaggio.
Impatti reali in ambito aziendale e personale
La presenza di queste vulnerabilità in BitLocker è particolarmente preoccupante per chi utilizza dispositivi portatili (notebook, tablet) in mobilità o dove la perdita/furto di un dispositivo metterebbe a rischio una grande quantità di informazioni sensibili. Ad esempio:
- Aziende che affidano dispositivi ai dipendenti per il lavoro remoto
- Professionisti che trasportano dati dei clienti o informazioni mediche/finanziarie protette
- Utenti privati con foto, documenti o informazioni personali non sostituibili
In assenza delle patch, un aggressore con accesso temporaneo al sistema (magari approfittando di un momento di distrazione o attacco in catena) potrebbe manipolare BitLocker per ottenere “persistenza” e accesso illimitato ai dati, eludendo i controlli futuri anche dopo il cambio della password.
Come proteggersi: azioni immediate e best practice
Ecco alcuni consigli fondamentali per tutti gli utenti e amministratori di sistemi Windows:
- Aggiorna subito Windows: controlla la presenza di aggiornamenti tramite Windows Update e installa la patch di settembre 2025. Anche nei server e dispositivi meno usati.
- Verifica che BitLocker sia correttamente attivo sui dischi sensibili e che la chiave di ripristino sia custodita in un luogo sicuro e separato dal dispositivo.
- Non ignorare i riavvii richiesti dalle patch: molti aggiornamenti di sicurezza completano la protezione solo dopo il riavvio.
- Monitora eventuali comportamenti anomali del PC (rallentamenti, crash, finestra di BitLocker inaspettate), perché potrebbero essere un segnale di un tentativo di sfruttamento.
- Implementa l’autenticazione TPM+PIN dove possibile per rafforzare ulteriormente la protezione della fase di avvio del sistema.
Approfondimento: misure avanzate per amministratori e aziende
Per chi gestisce reti aziendali o sistemi critici:
- Applica patch in modo centralizzato su tutti i dispositivi gestiti, utilizzando strumenti di Enterprise Management (es. WSUS, Intune, SCCM).
- Valuta l’attivazione delle funzionalità di pre-boot authentication che richiedono sia TPM che PIN, riducendo drasticamente le possibilità di bypass da parte di attori con accesso fisico.
- Configura i controlli di accesso e limitazione dei privilegi per gli account locali; limita la possibilità di installare software e usa sistemi di monitoring avanzati per identificare potenziali escalation di privilegi.
- Esegui backup regolari e testa periodicamente la procedura di ripristino: in caso di compromissione, il ripristino dei dati è l’ultima risorsa per evitare danni irreversibili.
- Sensibilizza i dipendenti sul rischio di “social engineering”: l’elemento umano resta spesso l’anello debole nella catena della sicurezza, soprattutto quando il successo dell’attacco richiede una loro interazione.
Riassumendo: la difesa più efficace in questi scenari resta l’aggiornamento tempestivo, la vigilanza costante e la consapevolezza che nessuna protezione software è infallibile.
Le vulnerabilità zero-day sono destinate a comparire regolarmente, ma un approccio disciplinato e proattivo riduce di molto le probabilità di trovarsi vittima dei prossimi attacchi.
