Una nuova vulnerabilità, identificata come CVE-2025-50165, ha aperto la strada a una minaccia completamente diversa rispetto a quelle a cui siamo abituati. Non servono clic, macro o azioni deliberate da parte dell’utente: il problema risiede nel componente grafico di Windows, dove il sistema elabora immagini JPEG di uso comune. Manipolando la struttura di un’immagine, gli attaccanti possono attivare l’esecuzione di codice malevolo non appena Windows tenta di renderizzarla. Nessun avviso, nessun messaggio di sicurezza: una semplice anteprima può diventare il primo passo verso il compromesso dell’intero sistema.
Questo caso ci ricorda che gli attaccanti non si affidano più solo a malware evidenti o script sospetti. Oggi, formati di file quotidiani come immagini, documenti, PDF e archivi diventano veicoli per exploit sofisticati. I file che gli utenti considerano più sicuri sono diventati il nascondiglio preferito per payload nascosti. La minaccia non è più nel contenuto visibile, ma nella struttura interna che può essere manipolata per scopi malevoli.
La vulnerabilità CVE-2025-50165 spiegata
La causa principale di questa vulnerabilità è un bug di corruzione della memoria nel componente grafico di Windows, il sottosistema responsabile della visualizzazione di quasi tutte le immagini nel sistema operativo. Quando viene elaborata una JPEG appositamente creata, il decoder gestisce male le strutture dati interne, creando le condizioni per l’esecuzione di codice a distanza. Non c’è nulla di sospetto nell’aspetto del file: il pericolo è tutto nella struttura malformata dell’immagine.
Ciò che rende questa vulnerabilità particolarmente preoccupante è l’assenza totale di segnali di allarme tradizionali. Non ci sono macro da disabilitare, script da bloccare o link da evitare. L’exploit non aspetta che qualcuno apra un allegato sospetto: si attiva non appena Windows tenta di visualizzare l’immagine, anche solo in anteprima. Questo può avvenire automaticamente in Esplora file, Outlook, Teams, SharePoint, webmail o qualsiasi altra applicazione di terze parti.
Dato che le immagini sono ovunque, incorporate in documenti, incollate nei messaggi di chat, allegate a ticket di supporto, caricate su portali o condivise su drive, la portata di questa vulnerabilità è enorme. Una singola JPEG malevola può viaggiare inosservata all’interno di un’organizzazione, attivandosi esattamente nel momento in cui viene visualizzata. Questo tipo di minaccia trasforma un file apparentemente innocuo in un veicolo perfetto per l’attacco.
Il quadro più ampio: i formati di file come punto debole della sicurezza aziendale
Questa vulnerabilità evidenzia un problema più generale: i formati di file sono diventati uno dei punti più deboli della sicurezza aziendale. Le librerie di rendering delle immagini sono profondamente integrate nei sistemi operativi e nelle applicazioni, spesso basate su codice vecchio che è difficile e rischioso aggiornare. Sono presenti ovunque, nei browser, negli strumenti di produttività e nelle app di collaborazione. Quando compare un difetto in uno di questi componenti principali, l’intero ambiente ne risente.
Lo stesso vale per i parser di file in generale. Sono pezzi di codice complessi che devono gestire innumerevoli variazioni di file “validi” provenienti da diversi strumenti ed epoche. Questa complessità crea piccole falle che gli attaccanti possono sfruttare manipolando la struttura del file invece di inserire payload ovvi. I contenuti malformati riescono a superare i parser proprio perché non sono stati progettati per difendersi contro strutture armate.
Le aziende sentono questa pressione ogni giorno. Ingeriscono migliaia di file da email, upload, portali fornitori e strumenti di collaborazione, e ognuno di essi può nascondere un difetto strutturale sottile che si attiva non appena viene visualizzato. Questi attacchi generano pochissimo rumore, si fondono nei flussi di lavoro normali e offrono agli avversari una vasta portata.
Il risultato è chiaro: i formati di file fidati non possono più essere considerati sicuri a prima vista.
Perché gli strumenti basati sul rilevamento falliscono contro questo tipo di minaccia
Questi difetti nel codice di gestione dei file mostrano dove gli strumenti basati sul rilevamento si rivelano insufficienti. Quando un exploit è nascosto nella struttura di una JPEG appena creata, non c’è nessuna firma che gli strumenti anti-malware possano riconoscere. Neanche gli strumenti comportamentali lo intercettano, perché nulla sembra sospetto dal loro punto di vista. Non si tratta di una macro che chiama Internet o di una catena di processi sospetti. È un evento di corruzione della memoria che si verifica durante un’operazione di rendering normale.
Anche le sandbox hanno difficoltà. Gli exploit basati su immagini spesso dipendono da condizioni sottili di tempistica o specifiche dell’ambiente che le sandbox non riescono a replicare. Una JPEG malevola potrebbe sembrare innocua nell’analisi, ma attivarsi immediatamente quando un utente reale la visualizza su un endpoint con componenti leggermente diversi.
Inoltre, non si può chiedere agli utenti di non aprire immagini. I JPEG sono parte integrante della comunicazione quotidiana, dai messaggi delle risorse umane alle sottomissioni dei fornitori, quindi evitarli non è né realistico né sostenibile.
È per questo che minacce come CVE-2025-50165 bypassano gli strumenti su cui le organizzazioni fanno affidamento. Non generano i segnali che gli strumenti di rilevamento cercano e sfruttano una delle operazioni più fidate su ogni sistema: la visualizzazione di una semplice immagine.
CDR: la mitigazione senza rilevamento
La Content Disarm and Reconstruction (CDR) adotta un approccio diverso alla sicurezza dei file, rifiutando di fidarsi del file originale. Invece di cercare di individuare modelli malevoli o aspettare le firme, la CDR smonta il file, rimuove qualsiasi contenuto inatteso e ricostruisce una versione pulita e funzionale su un modello noto come sicuro.
Il valore sta nella prevenzione, non nell’identificazione. Una JPEG malformata non può attivare un exploit di corruzione della memoria perché gli elementi strutturali rischiosi vengono rimossi durante la ricostruzione. La CDR non deve conoscere la vulnerabilità né riconoscere byte malevoli. Blocca le condizioni che rendono possibile l’exploit fin dall’inizio.
Molte persone associano la CDR alle generazioni precedenti che appiattivano i documenti o rimuovevano le macro, ma la CDR moderna va ben oltre. Preserva la funzionalità e la logica aziendale, garantendo che il file che entra nell’organizzazione sia sicuro a livello strutturale.
Dove la CDR tradizionale fallisce
Sebbene la CDR offra un modello più sicuro rispetto al solo rilevamento, non tutte le implementazioni soddisfano le esigenze delle organizzazioni. Molti strumenti CDR tradizionali si affidano a tattiche brutali, appiattendo i file in PDF statici o rimuovendo ogni contenuto attivo o incorporato. Questi metodi eliminano alcuni rischi, ma eliminano anche la funzionalità di cui gli utenti hanno bisogno. Le macro scompaiono, le formule si rompono, i link smettono di funzionare e gli elementi interattivi cessano di funzionare. Il file può essere sicuro, ma il flusso di lavoro si blocca.
Il problema più profondo è che questi approcci non affrontano il vero pericolo evidenziato da vulnerabilità come quella della JPEG di Windows. Appiattire un documento non protegge contro strutture malformate all’interno di un file immagine, e rimuovere contenuti attivi lascia intatti i modelli, i contenitori e i componenti del file sottostanti. Senza ricostruire il file su un modello pulito e validato, il sistema rimane vulnerabile agli exploit strutturali nascosti su cui gli attaccanti si affidano sempre di più.
Il nostro approccio: Zero Trust reale per i file
Portiamo la CDR ancora oltre con la nostra tecnologia Positive Selection® di nuova generazione, una soluzione costruita interamente attorno allo Zero Trust reale per i file senza sacrificare la produttività degli utenti. Invece di cercare di individuare ciò che è male, Positive Selection si concentra esclusivamente su ciò che è buono. Ricostruisce ogni file in ingresso utilizzando solo elementi validati e noti come sicuri, garantendo che la versione finale preservi la massima fedeltà tramite contenuti attivi, oggetti incorporati, logica aziendale e tutte le funzionalità di cui gli utenti hanno bisogno. Nulla viene appiattito, rimosso o rotto nel processo.
Questo approccio supporta oltre 220 tipi di file, inclusi documenti Office, PDF, immagini, archivi e persino file protetti da password. L’ampiezza è importante perché gli attaccanti non sono fedeli a un solo formato; armatizzeranno qualsiasi cosa gli utenti considerino più affidabile. Positive Selection tratta tutti i formati con la stessa rigorosità, imponendo la sicurezza strutturale prima che il file raggiunga un utente o un sistema.
Per una vulnerabilità come quella della JPEG di Windows, questo diventa particolarmente critico. I dati malformati che attivano la corruzione della memoria nel componente grafico non sono mai inclusi nel file ricostruito. La struttura pericolosa viene rimossa nella fase di sanificazione, molto prima che Windows tenti di renderizzarla. Questa è la forza di un modello davvero proattivo. Gli exploit zero-day perdono il loro vantaggio perché il sistema non interagisce mai con il file nella sua forma originale e armatizzata.
Cosa ci dice questo nuovo CVE sul futuro
La vulnerabilità delle immagini di Windows non è un’eccezione, ma un segnale di ciò che sta arrivando. Finché i sistemi operativi si baseranno su librerie di immagini obsolete, parser di documenti complessi e routine intricate per gli archivi, gli attaccanti continueranno a prendere di mira questi strati. Anche piccoli difetti di parsing possono creare rischi su larga scala. E con gli strumenti di GenAI, le piattaforme di collaborazione e i flussi di lavoro automatizzati che spingono la condivisione di enormi quantità di file, ogni file in ingresso diventa un potenziale punto di ingresso. I formati fidati non possono più essere considerati sicuri.
Questo cambiamento richiede una nuova postura, che tratti ogni file come non fidato dal momento in cui arriva. La sanificazione strutturale non è più opzionale: è l’unico modo per contrastare minacce che si nascondono dove gli strumenti di rilevamento non possono arrivare. La nostra tecnologia Positive Selection è costruita per questa realtà. Ricostruendo file puliti e funzionali invece di analizzare quelli armatizzati, neutralizza vulnerabilità come CVE-2025-50165 prima che possano essere sfruttate.
Le organizzazioni hanno bisogno di una soluzione che rimuova le minacce nascoste prima che raggiungano gli utenti o i terminali.
