Ieri, nel consueto appuntamento del secondo martedì del mese, Microsoft ha rilasciato gli aggiornamenti di sicurezza di maggio 2025 correggendo un totale di 72 vulnerabilità, tra cui cinque falle zero-day attivamente sfruttate e due vulnerabilità pubblicamente divulgate prima del rilascio delle patch. Tra queste vulnerabilità, sei sono classificate come Critiche, con cinque che consentono l’esecuzione di codice da remoto (Remote Code Execution, RCE) e una legata alla divulgazione non autorizzata di informazioni.

Ecco il dettaglio delle correzioni:

  • 17 vulnerabilità di elevazione dei privilegi
  • 2 falle di bypass delle funzionalità di sicurezza
  • 28 vulnerabilità RCE
  • 15 vulnerabilità di divulgazione di informazioni
  • 7 vulnerabilità di Denial of Service (DoS)
  • 2 vulnerabilità di spoofing
patch tuesday

Crediti: Shutterstock

Va sottolineato che queste cifre non includono le falle già corrette all’inizio del mese per quanto riguarda Azure, Dataverse, Mariner e Microsoft Edge.

Le cinque falle zero-day attivamente sfruttate sono:

  • CVE-2025-30400 – Microsoft DWM Core Library: Una falla di tipo use-after-free che consente a un attaccante autenticato di ottenere privilegi elevati. Scoperta dal Microsoft Threat Intelligence Center
  • CVE-2025-32701 – Windows Common Log File System Driver: Ancora un use-after-free, sempre con esito di elevazione dei privilegi. Anche questa vulnerabilità è stata rilevata dal team interno di Microsoft
  • CVE-2025-32706 – Windows Common Log File System Driver: Diversamente dalla precedente, questa vulnerabilità scoperta dal Google Threat Intelligence Group e dal team di ricerca avanzata di CrowdStrike sfrutta una validazione errata dell’input, ma porta allo stesso risultato: accesso con privilegi elevati
  • CVE-2025-32709 – Windows Ancillary Function Driver for WinSock: Ennesimo use-after-free, che consente a un utente autenticato di elevare i privilegi localmente. La vulnerabilità è stata segnalata da un ricercatore anonimo
  • CVE-2025-30397 – Scripting Engine (Edge/IE): Scoperta anch’essa dal Microsoft Threat Intelligence Center, è l’unica RCE tra le zero-day di questo mese. Si tratta di una vulnerabilità per corruzione di memoria (type confusion) nello scripting engine di Microsoft, sfruttabile tramite un link malevolo aperto con Edge o Internet Explorer. Se un utente autenticato viene indotto a cliccare sul link, un attaccante non autenticato può eseguire codice da remoto.

Sebbene Microsoft non abbia fornito dettagli sulle modalità di sfruttamento delle falle già attivamente usate in attacchi reali, il fatto che ben cinque vulnerabilità zero-day siano state corrette in un solo ciclo di patch sottolinea l’attuale pressione esercitata sulle infrastrutture Windows da parte di attori malevoli. Particolarmente rilevante risulta essere la concentrazione di falle che portano all’elevazione dei privilegi, suggerendo campagne mirate al controllo completo dei sistemi infetti.

Si raccomanda agli amministratori di sistema e agli utenti professionali di applicare gli aggiornamenti quanto prima, soprattutto per mitigare i rischi legati alle falle già sfruttate.