Microsoft ha chiuso il 2025 rilasciando aggiornamenti di sicurezza per 56 vulnerabilità riscontrate nei suoi prodotti Windows, tra cui una falla già sfruttata attivamente. Di queste, tre sono considerate critiche e cinquantatré importanti. Due vulnerabilità erano già note pubblicamente al momento del rilascio, tra cui escalation dei privilegi, esecuzione di codice remoto, divulgazione di informazioni, denial-of-service e spoofing. Nel corso del 2025 Microsoft ha gestito ben 1275 CVE, segnando così il secondo anno consecutivo con oltre mille vulnerabilità corrette.
Patch per Microsoft Edge e i dettagli sulla vulnerabilità sfruttata
Questi aggiornamenti includono anche 17 falle corrette nel browser Edge basato su Chromium, tra cui una vulnerabilità di spoofing su Edge per iOS. La vulnerabilità attivamente sfruttata, identificata come CVE-2025-62221, riguarda un use-after-free nel driver Windows Cloud Files Mini Filter che permette a un attaccante autenticato di ottenere privilegi di sistema. Questo componente è utilizzato da servizi come OneDrive, Google Drive e iCloud, ma è presente su qualsiasi sistema Windows, anche senza queste applicazioni installate.
Non è ancora chiaro come questa vulnerabilità venga sfruttata, ma Microsoft invita gli utenti a considerare che un attacco riuscito richiede un accesso iniziale alla macchina tramite altre tecniche, come phishing o exploit di browser. Dopo aver ottenuto i privilegi, l’attaccante può installare driver malevoli, eludere le difese e persistere nel sistema, rischiando anche la compromissione dell’intero dominio aziendale. Proprio per la gravità, la CISA statunitense ha inserito questa falla nel catalogo delle vulnerabilità sfruttate, obbligando le agenzie federali a correggerla entro il 30 dicembre 2025.
Altre vulnerabilità zero-day risolte da Microsoft
Oltre a questa minaccia, sono state risolte due ulteriori zero-day: CVE-2025-54100, una vulnerabilità di command injection in Windows PowerShell che consente l’esecuzione di codice arbitrario tramite comandi come Invoke-WebRequest, e CVE-2025-64671, una falla di injection in GitHub Copilot per JetBrains che permette esecuzione di codice non autorizzata. Questi attacchi possono essere amplificati tramite tecniche di social engineering e prompt injection, soprattutto con l’integrazione di agenti AI negli ambienti di sviluppo, aumentando il rischio di esecuzione di comandi e furto di dati.
Altri vendor e l'importanza degli aggiornamenti
Infine, oltre a Microsoft, numerosi altri vendor hanno rilasciato patch di sicurezza nelle ultime settimane, tra cui Adobe, Amazon, AMD, Cisco, Google, Intel, Linux, SAP, Zoom e molti altri. È fondamentale mantenere tutti i sistemi aggiornati per garantire la protezione contro queste e altre vulnerabilità emergenti.
