Riassunto iniziale:
Zoom, la piattaforma usata da milioni di persone per riunioni e didattica online, ha appena rilasciato un importante aggiornamento di sicurezza: una vulnerabilità critica consentiva agli hacker di ottenere i massimi privilegi su computer Windows tramite la rete, esponendo dati sensibili e organizzazioni a seri rischi. Aggiorna subito il client all’ultima versione disponibile, verifica che sia almeno la 6.3.10, non aprire allegati sospetti nelle riunioni e consulta sempre le note di rilascio di Zoom per ulteriori dettagli. In questo articolo scoprirai cosa è successo, quali sono le implicazioni, chi è coinvolto e come difendersi in maniera efficace.
Zoom e la nuova vulnerabilità: panoramica
Nella seconda settimana di settembre 2025, Zoom ha reso nota la correzione di una falla di sicurezza estremamente grave identificata come CVE-2025-49457 (“privilege escalation”) nei suoi client per Windows. Questa vulnerabilità, con un punteggio CVSS di 9.6 su 10, permetteva a un utente non autenticato di ottenere privilegi elevati semplicemente collegandosi in rete e sfruttando una gestione non sicura dei percorsi di ricerca del software. In gergo tecnico, un “untrusted search path” lascia spazio ad attacchi che consentono di eseguire codice malevolo con i permessi di amministratore, violando così la sicurezza dei dispositivi coinvolti[1].
Perché questo aggiornamento è importante?
- Zoom viene utilizzato quotidianamente da aziende, enti pubblici, scuole e professionisti, con dati sensibili spesso scambiati in riunioni, chat, registrazioni audio/video e file allegati.
- Una vulnerabilità di questo tipo può diventare un “cavallo di Troia” per attaccare intere organizzazioni, superando anche difese evolute, dal momento che Zoom rappresenta un software considerato affidabile da molte soluzioni di sicurezza.
- Aggiornare subito permette di bloccare possibili tentativi di attacco che nel frattempo potrebbero già essere in corso: è prassi comune che, dopo la pubblicazione di dettagli tecnici sulle vulnerabilità, i malintenzionati tentino di sfruttarle su larga scala.
Cosa rischiavano gli utenti
La vulnerabilità coinvolgeva tutte le principali versioni di Zoom Client per Windows rilasciate prima della 6.3.10. Un eventuale attaccante contribuiva a depositare file malevoli in posizioni che Zoom cercava di caricare, eseguendo così codice potenzialmente dannoso con massimi privilegi. Tra i rischi specifici:
- Furto di dati personali, aziendali o finanziari conservati sul dispositivo o accessibili tramite Zoom.
- Compromissione di sistemi aziendali, inclusi server e archivi condivisi, attraverso la diffusione laterale del malware all’interno della rete.
- Accesso non autorizzato a riunioni protette o registrazioni riservate.
- Installazione persistente di programmi spia difficili da individuare.
Dettagli tecnici e storia recente degli aggiornamenti
Zoom non è nuova a problematiche di sicurezza: già nel novembre 2024 erano state corrette altre vulnerabilità ad alta gravità (CVE-2024-45421 e CVE-2024-45419), sempre relative alla possibile escalation di privilegi o all’esposizione di informazioni riservate. L’attacco tramite percorso di ricerca insicuro (untrusted search path) sfrutta la tendenza di alcuni programmi a cercare componenti in directory prevedibili o scrivibili, aggirando logicamente le restrizioni di sicurezza.
Nel rilascio del Patch Tuesday di settembre 2025 di Microsoft, sono state sanate anche altre falle notevoli riguardanti sistemi Windows, aumentando la pressione su tutte le organizzazioni ad aggiornare i software critici per la collaborazione e la produttività[3]. La community della sicurezza internazionale ha sottolineato l’importanza di aggiornare tempestivamente tutte le applicazioni di largo utilizzo.
Il nuovo requisito minimo per Zoom
Dal 15 settembre 2025, la versione minima consentita per partecipare a riunioni o utilizzare account Zoom passa dalla 6.3.0 alla 6.3.10 su tutti i sistemi operativi supportati. Questa policy, già adottata da grandi realtà accademiche e aziendali statunitensi, obbliga gli utenti a mantenere il software aggiornato per avvalersi delle ultime difese contro bug e attacchi informatici[2].
Attenzione importante: Se non aggiorni, potresti non riuscire più ad accedere a riunioni istituzionali o aziendali e rischi di condividere accidentalmente vulnerabilità con altri utenti della tua organizzazione.
Altre novità degli ultimi aggiornamenti Zoom Workplace
Oltre alle patch di sicurezza, Zoom ha introdotto piccoli miglioramenti alla user experience e alla stabilità generale:
- Nuova interfaccia per videomessaggi e gestione delle segreterie Zoom Phone.
- Risoluzione di bug sulla condivisione schermo, sulle opzioni di silenziamento e su problemi minori relativi a copia-incolla, layout video e notifiche.
- Ottimizzazione della trasparenza delle filigrane video e correzioni legate agli AVVIA/PARTECIPA alle riunioni[4].
Questi aggiornamenti contribuiscono a rendere la piattaforma più solida, non solo a livello di sicurezza ma anche di praticità ed efficienza nell’uso quotidiano.
Impatto per aziende, scuole, università
Le organizzazioni che gestiscono grandi numeri di utenti sono obbligate dalla stessa policy di Zoom ad aggiornare regolarmente tutti i client utilizzati su laptop, PC fissi, smartphone e tablet aziendali. Sono consigliati audit periodici su tutte le versioni installate, il push automatico degli aggiornamenti e la sensibilizzazione continua degli utenti finali.
Le istituzioni scolastiche e universitarie, dove spesso i dispositivi sono eterogenei e gestiti anche da personale meno esperto, dovrebbero rendere obbligatorio l’aggiornamento guidato e fornire assistenza dedicata per prevenire problemi di accesso o esposizione ai rischi.
Cosa devi fare subito
Ecco le azioni più urgenti, consigliate a tutti:
- Aggiorna immediatamente Zoom su tutti i dispositivi Windows alla versione 6.3.10 o successiva, tramite il menu “Guida > Verifica aggiornamenti” dell’applicazione o scaricando dal sito ufficiale di Zoom.
- Verifica la versione attuale: apri Zoom, vai su “Impostazioni” e cerca nella sezione “Info” o “Informazioni su” il numero di versione.
- Non utilizzare mai software scaricato da fonti non ufficiali.
- Evita di condividere link o file all’interno delle riunioni se non sono assolutamente sicuri.
- Avvisa i colleghi e la tua IT aziendale della necessità di aggiornare tutti i sistemi dove Zoom viene utilizzato.
Approfondimenti e consigli avanzati
Per professionisti IT, cybersecurity manager e amministratori di sistema:
- Implementa update forzati tramite strumenti di gestione centralizzata dei device (Intune, GPO, MDM) per garantire che nessun dispositivo resti indietro.
- Monitora i log degli aggiornamenti e crea alert che segnalino installazioni di versioni obsolete.
- Effettua vulnerability scanning periodico su tutte le applicazioni critiche aziendali, con particolare attenzione ai software largamente utilizzati o considerati “routinarî” (collaborative tools, email client, browser).
- Isola in ambiente sandbox eventuali dispositivi che presentano comportamenti anomali dopo l’aggiornamento.
- Educa periodicamente gli utenti sui rischi dell’ingegneria sociale e sulla necessità di segnalare la ricezione di file, link o inviti sospetti.
Per aziende e istituzioni:
- Definisci procedure di incident response dedicate alle piattaforme di videocomunicazione, considerando anche il rischio di data breach conseguenti a vulnerabilità zero-day.
- Mantieni un canale diretto con i referenti di Zoom per ricevere alert tempestivi sulle future vulnerabilità.
- Associa alle policy di aggiornamento obbligatorio una formazione regolare su tematiche di sicurezza informatica, con focus specifico su phishing, attacchi supply chain e compromissione degli endpoint.
Ricorda: La sicurezza informatica inizia sempre da una corretta gestione degli aggiornamenti, dalla prudenza degli utenti e dalla collaborazione tra reparti IT, management e personale operativo.
Con Zoom al centro delle comunicazioni globali, ignorare gli aggiornamenti è oggi il rischio principale. Aggiorna subito, informa chi ti sta vicino e rendi la sicurezza una priorità per te e la tua organizzazione.
