Il patch tuesday di novembre appena rilasciato da Microsoft va ad affrontare ben 63 vulnerabilità distribuite su una vasta gamma di prodotti e componenti del suo ecosistema software. Cinque di queste falle sono classificate come “critiche”, mentre una in particolare, catalogata come CVE-2025-62215, risulta già sfruttata attivamente in attacchi reali.

Il pacchetto di novembre interviene su aree sensibili come il kernel di Windows, le librerie grafiche GDI+, le applicazioni Office, i componenti DirectX e lo sviluppo in Visual Studio. In particolare, le vulnerabilità di tipo Remote Code Execution (RCE) e quelle che permettono l’elevazione dei privilegi sono considerate tra le più pericolose, poiché consentono a un attaccante di espandere rapidamente il proprio controllo sugli asset aziendali senza richiedere interventi complessi o interazione da parte della vittima.

Tra i problemi più importanti affrontati da questo aggiornamento c’è proprio la CVE-2025-62215, una vulnerabilità critica che consente a un utente autenticato di ottenere privilegi elevati in locale. La bassa complessità dell’attacco ne aumenta la pericolosità, soprattutto nei contesti aziendali in cui lo sfruttamento potrebbe permettere a un attaccante di spostarsi lateralmente nella rete o consolidare l’accesso a sistemi sensibili. Microsoft ha attribuito particolare attenzione a questo bug, raccomandando l’installazione immediata dell’aggiornamento per mitigare eventuali minacce già in circolazione.

Accanto alla CVE sfruttata attivamente, il bollettino di novembre include cinque vulnerabilità critiche che coinvolgono componenti diversi del sistema operativo e delle applicazioni Microsoft.

Crediti: Shutterstock

Crediti: Shutterstock

La prima è CVE-2025-60724, una RCE che interessa GDI+, la libreria grafica di Windows. Il problema risiede in un heap-based buffer overflow che può essere attivato tramite documenti contenenti metafile creati ad arte. Ciò significa che un attaccante può potenzialmente eseguire codice remoto anche in scenari web, senza necessità di interazione da parte dell’utente. La complessità dell’attacco è considerata bassa, il che rende la vulnerabilità particolarmente rilevante.

Segue CVE-2025-30398, che colpisce Nuance PowerScribe 360, una piattaforma utilizzata in ambito medico. L’errore nelle autorizzazioni dell’API permette a un attaccante di ottenere informazioni riservate tramite una semplice chiamata non autenticata. Anche in questo caso il rischio è elevato, soprattutto perché coinvolge dati sensibili.

Una delle vulnerabilità più delicate è CVE-2025-62199, un problema di tipo use-after-free in Microsoft Office che consente l’esecuzione di codice tramite file malevoli inviati alla vittima. Poiché Office è spesso il primo punto di ingresso in campagne di phishing mirate, questa falla rappresenta un bersaglio potenziale per numerosi attori malevoli.

La quarta vulnerabilità critica, CVE-2025-60716, riguarda il DirectX Graphics Kernel e consiste in una race condition con use-after-free che permette di elevare i privilegi di un utente autenticato. A differenza delle precedenti, la complessità dell’attacco è alta, rendendone lo sfruttamento meno probabile, ma comunque potenzialmente rischioso in ambienti dove gli aggressori possano già avere accesso iniziale.

Chiude l’elenco CVE-2025-62214, una vulnerabilità RCE in Visual Studio legata a una possibile iniezione di comandi tramite l’AI Copilot Agent e il sistema di build dei progetti. Richiede più passaggi e autorizzazioni locali, ma potrebbe essere sfruttata in scenari di sviluppo compromessi, tipicamente presi di mira in attacchi supply-chain.