La sicurezza di Windows torna sotto i riflettori a seguito dell’allerta diffusa da CISA, che ha confermato lo sfruttamento attivo della vulnerabilità CVE-2025-33073 classificata ad alta gravità. Questo difetto interessa tutte le versioni supportate di Windows Server e Windows 10, oltre a Windows 11 fino all’ultima release 24H2, e permette a un attaccante di ottenere privilegi SYSTEM, il livello di accesso più elevato nel sistema operativo Microsoft.

La vulnerabilità è stata corretta da Microsoft nel Patch Tuesday di giugno 2025, ma la sua natura e la dinamica di attacco rendono particolarmente critico il tempo di esposizione. Il problema risiede in un controllo di accesso improprio all’interno del protocollo SMB (Server Message Block), ampiamente utilizzato per la condivisione di file e risorse in rete. Attraverso una manipolazione mirata, un attaccante autorizzato può sfruttare questa debolezza per elevare i propri privilegi e assumere il pieno controllo del sistema remoto.

Secondo quanto riportato da Microsoft, l’exploit può essere avviato inducendo la vittima a effettuare una connessione verso un server SMB malevolo controllato dall’attaccante. Una volta stabilita la connessione, il server compromesso può violare il protocollo SMB e indurre il sistema bersaglio ad autenticarsi, attivando lo sfruttamento della vulnerabilità. In pratica, basta un semplice script malevolo capace di forzare la connessione della macchina vittima verso l’attaccante per trasformare un accesso limitato in un controllo totale.

Ciò che rende particolarmente allarmante la CVE-2025-33073 è che, al momento dell’uscita della patch, Microsoft aveva già confermato che i dettagli tecnici sulla vulnerabilità erano pubblicamente accessibili. Questo significa che la finestra di esposizione è stata significativa e che i gruppi malevoli hanno avuto il tempo necessario per sviluppare exploit funzionanti prima della disponibilità degli aggiornamenti. Sebbene Microsoft non abbia ancora rilasciato una dichiarazione ufficiale sulla conferma dello sfruttamento, CISA ha inserito la vulnerabilità nel proprio catalogo Known Exploited Vulnerabilities (KEV), una misura che certifica la presenza di attacchi reali in corso.

vulnerabilità SMB

La vulnerabilità è stata scoperta da un gruppo eterogeneo di ricercatori appartenenti ad alcune delle principali realtà del settore della cybersecurity, fra cui CrowdStrike, Synacktiv, SySS GmbH, Google Project Zero e RedTeam Pentesting. Questo conferma l’elevata attenzione della comunità di sicurezza verso i rischi legati ai protocolli fondamentali come SMB, ormai sistemici all’interno degli ambienti enterprise.

CISA ha imposto alle agenzie federali statunitensi soggette alla direttiva BOD 22-01 l’obbligo di correggere la vulnerabilità entro il 10 novembre, lasciando un margine di appena tre settimane. Ma l’agenzia ha anche lanciato un avvertimento chiaro al settore privato, puntualizzando che nonostante l’obbligo normativo riguardi solo gli enti governativi, tutte le organizzazioni dovrebbero considerare l’aggiornamento come prioritario, considerando la severità del rischio e l’effettivo sfruttamento da parte di attori malevoli.

Il potenziale impatto di CVE-2025-33073 è trasversale e colpisce tanto le infrastrutture on-premise quanto gli ambienti ibridi o cloud-based che operano con sistemi Windows. In scenari aziendali, l’accesso privilegiato via SMB può consentire il movimento laterale attraverso la rete, l’installazione di backdoor persistenti, l’esecuzione di ransomware e il furto di dati sensibili. È quindi una minaccia che non riguarda soltanto la compromissione del singolo dispositivo, ma l’intera postura di sicurezza di un’organizzazione.

Gli attaccanti possono inoltre operare da remoto, senza necessità di accesso fisico o locale, e sfruttare meccanismi di autenticazione integrati nel protocollo. Per questo motivo, l’applicazione della patch non rappresenta solo una misura consigliata, ma un passaggio imprescindibile per garantire l’integrità e la resilienza dei sistemi informativi.

CISA definisce queste vulnerabilità come “vettori di attacco frequenti per attori malevoli”, ricordando che rappresentano una delle principali porte d’ingresso per compromettere reti governative e infrastrutture critiche. In assenza di aggiornamenti tempestivi, i sistemi esposti diventano obiettivi privilegiati per campagne di attacco automatizzate e mirate, con rischi che spaziano dalla perdita operativa fino al blocco completo dei servizi.

(Immagine in apertura: Shutterstock)