Windows presenta una vulnerabilità critica attualmente sfruttata da malintenzionati. Il problema riguarda il driver mini filter di Windows Cloud Files, un componente che gestisce l’accesso ai file memorizzati nel cloud come se fossero locali.
Se usi Windows 10 o Windows 11, è fondamentale aggiornare subito il sistema con le patch rilasciate da Microsoft per proteggerti da possibili attacchi che possono prendere il controllo completo del tuo computer.
—
Che cos’è la vulnerabilità e perché è pericolosa?
Il difetto è una falla di tipo “use-after-free” nel driver cldflt.sys, che consente a un attaccante con accesso locale di eseguire codice con privilegi elevati, cioè come amministratore di sistema. Questo permette di disattivare protezioni di sicurezza, accedere a dati riservati o diffondersi nella rete aziendale.
Il driver coinvolto è responsabile di gestire i cosiddetti “placeholder”, ovvero file che appaiono locali ma il cui contenuto viene scaricato solo quando necessario, come accade ad esempio con OneDrive.
Chi è a rischio?
La vulnerabilità interessa diverse versioni di Windows, da Windows 10 versione 1809 fino a Windows 11 versione 25H2 e Windows Server 2025. Gli attaccanti devono avere già accesso locale alla macchina per sfruttare la falla, quindi è spesso usata come secondo passo in attacchi più ampi per aumentare i privilegi.
Come risolvere il problema?
Microsoft ha pubblicato aggiornamenti di sicurezza specifici per tutte le versioni coinvolte, rilasciati il 9 dicembre 2025. È fondamentale installarli il prima possibile per bloccare gli attacchi in corso.
I numeri di build aggiornati devono essere verificati dopo l’installazione per assicurarsi che la protezione sia attiva.
—
Approfondimento tecnico per addetti ai lavori
La vulnerabilità CVE-2025-62221 è un difetto di tipo use-after-free nel driver Windows Cloud Files Mini Filter (cldflt.sys), che gestisce il meccanismo di sincronizzazione e placeholder per file cloud. Il problema nasce da un uso errato della memoria che può essere scatenato da un utente locale con privilegi limitati.
L’attacco consiste nel far scattare una condizione di corruzione della memoria, che consente di eseguire codice arbitrario con privilegi SYSTEM. La complessità dell’attacco è bassa e non richiede interazione dell’utente, ma presuppone che l’attaccante abbia già accesso alla macchina.
Questa vulnerabilità è spesso usata come escalation di privilegi in catene di attacco, tipicamente dopo che un avversario ha già ottenuto un punto d’appoggio con privilegi bassi.
Il driver sfrutta un sistema che permette di visualizzare file cloud senza scaricarli completamente, idratandoli solo al bisogno. L’errore di programmazione riguarda la gestione concorrente di placeholder e la modifica di riferimenti interni, che porta all’uso di memoria liberata.
Microsoft ha rilasciato aggiornamenti per tutte le versioni colpite, tra cui Windows 10 (1809 e successive), Windows 11 (versioni 23H2, 24H2, 25H2) e Windows Server (2019, 2022, 2025). Non sono state pubblicate soluzioni temporanee alternative; l’aggiornamento è la misura definitiva.
Per gli amministratori di sistema è consigliato:
– Applicare le patch immediatamente
– Verificare la corretta installazione controllando i numeri di build
– Rafforzare i controlli di accesso e il monitoraggio per individuare attività sospette
La vulnerabilità è considerata importante e attivamente sfruttata, pertanto rappresenta una minaccia concreta per ambienti Windows aziendali e privati.
