Nel marzo 2025 Microsoft ha risolto una nuova e insidiosa vulnerabilità, denominata CVE-2025-24054, durante il Patch Tuesday mensile. La falla riguarda in particolare la divulgazione dell’hash NTLM, aprendo le porte ad attacchi di spoofing che mettono a rischio la sicurezza di milioni di utenti in tutto il mondo. Questa minaccia si inserisce in un contesto già complesso, in cui la superficie d’attacco dei sistemi Windows continua ad allargarsi e le campagne malevole diventano più convincenti e sofisticate.
Scopriremo insieme cosa c’è dietro questa vulnerabilità, perché rappresenta un rischio concreto e quali contromosse adottare per evitare di “essere fregati” con un semplice clic.
Cos’è la vulnerabilità CVE-2025-24054
La vulnerabilità CVE-2025-24054 ha un punteggio CVSS di 6,5, classificandosi tra le minacce di gravità media ma con un potenziale impatto rilevante sulla sicurezza dei sistemi Windows. Il problema risiede nella possibilità per un aggressore di ottenere l’hash NTLM dell’utente bersaglio, un’informazione che può essere utilizzata per eseguire attacchi di spoofing. In pratica, se l’attaccante riesce a indurre la vittima a compiere un’azione specifica (ad esempio, cliccare su un link o aprire un file malevolo), può intercettare le credenziali e tentare un accesso non autorizzato alle risorse di rete.
L’attacco sfrutta le debolezze intrinseche del protocollo NTLM, ancora ampiamente utilizzato per autenticazioni nei domini Windows e in molti ambienti aziendali. La criticità principale è che l’utente deve essere ingannato a compiere un’azione: non si tratta quindi di un attacco completamente automatizzato, ma il rischio rimane elevato vista la diffusione di campagne phishing altamente persuasive.
Come funziona l’attacco
Il meccanismo di sfruttamento della vulnerabilità è relativamente semplice. L’aggressore genera un file o un link malevolo e lo invia alla vittima tramite email, messaggistica o qualsiasi altro vettore di social engineering. Quando l’utente interagisce con questo contenuto, il sistema espone l’hash NTLM al server controllato dall’attaccante.
Una volta ottenuto l’hash, l’attaccante può utilizzarlo per tentare attacchi “pass-the-hash” o per svolgere ulteriori attività di escalation dei privilegi all’interno della rete aziendale, innescando così una potenziale catena di compromissioni fino all’acquisizione di dati sensibili, accesso a sistemi critici o anche la propagazione di ransomware.
Chi è a rischio
Tutti gli utenti che utilizzano sistemi Windows non aggiornati sono potenzialmente a rischio, in particolare:
- Aziende che usano ancora NTLM come protocollo di autenticazione principale.
- Utenti che aprono frequentemente allegati e link provenienti da fonti non verificate.
- Amministratori di sistema che gestiscono reti aziendali complesse e con molteplici punti di accesso.
Nonostante la patch sia stata già rilasciata da Microsoft, è noto che molti sistemi tardano ad aggiornarsi, lasciando quindi una finestra temporale favorevole agli attaccanti.
Cosa sta facendo Microsoft
Microsoft ha incluso la correzione per CVE-2025-24054 nel Patch Tuesday di marzo 2025, insieme ad altre 56 vulnerabilità tra cui sette zero-day. L’azienda raccomanda caldamente l’aggiornamento immediato di tutti i sistemi coinvolti per ridurre i rischi collegati a questa e ad altre falle critiche recentemente scoperte.
Oltre all’aggiornamento, Microsoft suggerisce l’adozione di buone pratiche di sicurezza come l’uso di autenticazione multifattore, la limitazione dell’utilizzo di NTLM a situazioni strettamente necessarie e il monitoraggio costante dei log di sistema per identificare potenziali tentativi di compromissione.
Consigli pratici per proteggersi
La prevenzione è la chiave per ridurre il rischio di cadere vittima di questo tipo di attacchi. Ecco alcune strategie e suggerimenti pratici:
1. Aggiornamenti tempestivi
- Installa immediatamente tutti gli aggiornamenti di sicurezza distribuiti da Microsoft, in particolare quelli rilasciati a marzo 2025.
- Verifica che su tutti i dispositivi sia installata la versione più recente del sistema operativo e delle applicazioni principali.
- Automatizza, laddove possibile, il processo di aggiornamento tramite strumenti di gestione patch aziendali.
2. Attenzione al social engineering
- Forma regolarmente i dipendenti e gli utenti su come riconoscere email di phishing, messaggi sospetti e tentativi di ingegneria sociale.
- Diffida sempre di link, allegati o richieste di accesso che provengono da mittenti sconosciuti o inattesi.
- Promuovi la cultura della segnalazione interna: ogni tentativo sospetto va subito riportato agli amministratori IT.
3. Riduci la dipendenza da NTLM
- Valuta la possibilità di sostituire NTLM con protocolli di autenticazione più moderni e sicuri, come Kerberos.
- Limita l’utilizzo di NTLM ai soli casi in cui sia strettamente necessario e monitora gli accessi che lo utilizzano.
- Disabilita NTLM ove non necessario, soprattutto su sistemi esposti a internet e reti esterne.
4. Abilita l’autenticazione a più fattori (MFA)
- Implementa MFA su tutti gli account privilegiati e, se possibile, su ogni utenza aziendale.
- MFA aggiunge un ulteriore livello di sicurezza, rendendo molto più difficile per un attaccante compromettere un account semplicemente ottenendo l’hash NTLM.
5. Monitora e analizza i log di sicurezza
- Utilizza sistemi SIEM (Security Information and Event Management) per raccogliere, normalizzare e analizzare i log dei sistemi.
- Configura alert automatici per rilevare comportamenti anomali e tentativi di accesso sospetti.
- Realizza test di penetrazione periodici per verificare la resilienza della rete alle tecniche di attacco più recenti.
6. Segmenta la rete e limita i privilegi
- Applica il principio del “least privilege”: ogni utente e servizio deve avere solo i permessi strettamente necessari.
- Segmenta la rete aziendale per isolare le risorse critiche e prevenire la propagazione degli attacchi.
- Aggiorna regolarmente le policy di accesso e verifica che non vi siano account orfani o privilegi eccessivi.
Casi di attacco e scenari reali
Nel panorama attuale, le tecniche di attacco basate sullo spear-phishing sono sempre più sofisticate: campagne malevole che imitano comunicazioni aziendali o istituzionali riescono spesso a superare le prime barriere di difesa. In un tipico scenario, la vittima riceve una email apparentemente legittima contenente un invito a scaricare un report o ad accedere a una risorsa condivisa. Un solo clic è sufficiente per innescare la catena di compromissione: il file o il link malevolo attiva lo sfruttamento della vulnerabilità, consentendo all’attaccante di acquisire le credenziali necessarie per muoversi lateralmente all’interno della rete.
Spesso, dopo la raccolta degli hash NTLM, i cybercriminali procedono con attacchi “brute-force” o utilizzano strumenti automatizzati per decifrare le password più deboli. Da qui possono infiltrarsi ulteriormente, compromettere dati sensibili, installare malware o pianificare un ransomware che può bloccare le attività aziendali per giorni, se non settimane.
Cosa fare in caso di sospetta compromissione
Se sospetti che un dispositivo o una rete siano stati esposti a questa vulnerabilità, è fondamentale agire prontamente:
- Scollega subito il dispositivo dalla rete e avvisa il team IT.
- Analizza i log per identificare eventuali accessi non autorizzati o movimenti laterali sospetti.
- Modifica immediatamente le credenziali coinvolte, soprattutto quelle di amministratori o account privilegiati.
- Valuta la necessità di ripristinare backup sicuri e avvia una scansione antivirus completa.
Prospettive future e conclusioni
La vulnerabilità CVE-2025-24054 è solo uno dei tanti esempi di come le minacce informatiche si evolvano rapidamente, sfruttando abitudini, errori umani e lacune tecnologiche. Il fattore umano rimane la principale debolezza: la maggior parte degli attacchi riesce, ancora oggi, grazie a semplici errori di valutazione o disattenzione.
Adottare un approccio proattivo, investire in formazione continua e adottare tecnologie aggiornate sono le armi più efficaci per proteggersi da questo e da futuri attacchi. Ricorda sempre: la sicurezza informatica non è un prodotto, ma un processo che richiede attenzione costante, collaborazione e consapevolezza diffusa.
Proteggi te stesso e la tua organizzazione, aggiornando i sistemi, informando gli utenti e monitorando costantemente la tua infrastruttura. Un solo clic può fare la differenza: scegli la prudenza e la preparazione per non “essere fregato”.
