Microsoft ha recentemente distribuito aggiornamenti di sicurezza che correggono 67 vulnerabilità nei suoi prodotti, tra cui una pericolosa vulnerabilità zero-day nel protocollo WebDAV attivamente sfruttata da gruppi di cybercriminali. Di queste vulnerabilità, 11 sono classificate come Critiche e 56 come Importanti. Le tipologie di bug rilevate comprendono 26 falle di esecuzione di codice da remoto, 17 di divulgazione di informazioni e 14 di escalation dei privilegi.

La vulnerabilità zero-day su WebDAV

Il bug più allarmante, identificato come CVE-2025-33053, riguarda proprio WebDAV, una tecnologia ampiamente adottata in ambito aziendale per la condivisione remota di file. Questo zero-day permette l’esecuzione di codice da remoto inducendo la vittima a cliccare su un URL appositamente creato. L’exploit è stato impiegato dal gruppo Stealth Falcon, noto anche come FruityArmor, responsabile di campagne di spionaggio mirate in Medio Oriente.

La catena di attacco include l’invio di un file .url tramite email di phishing. Questo file attiva uno strumento legittimo di diagnostica di Windows, che carica un loader malevolo e un agent denominato Horus. Quest’ultimo è progettato per controllare il sistema infetto e svolgere attività quali raccolta informazioni, download di file, esecuzione di shellcode e altre operazioni dannose. Per ostacolare l’analisi e il rilevamento, l’impianto sfrutta tecniche di offuscamento del codice come la cifratura delle stringhe e il controllo del flusso. Sono stati inoltre identificati strumenti aggiuntivi come keylogger, backdoor passive e tool per il furto di credenziali, tutti dotati di un elevato livello di protezione contro il reverse engineering.

Altre vulnerabilità critiche risolte

La vulnerabilità zero-day su WebDAV è stata inclusa nel catalogo KEV della CISA statunitense, con obbligo di applicazione della patch per le agenzie federali entro l’1 luglio 2025, a testimonianza dell’urgenza dell’aggiornamento. Oltre a questa, Microsoft ha corretto altre vulnerabilità di rilievo, come una falla critica di privilege escalation in Power Automate (CVE-2025-47966) e vulnerabilità in componenti come Common Log File System Driver, Netlogon, SMB Client e KDC Proxy Service.

Particolare attenzione è stata inoltre rivolta a una vulnerabilità di Secure Boot (CVE-2025-3052), che consentirebbe l’esecuzione di codice non firmato durante la fase di avvio del sistema, rendendo possibile una persistenza particolarmente difficile da eliminare. Questo ciclo di patch è cruciale per la sicurezza delle infrastrutture aziendali, considerando la crescente sofisticazione degli attacchi e la rapidità con cui le nuove vulnerabilità vengono sfruttate.