Microsoft risolve 134 falle nel Patch Tuesday di aprile, tra cui una zero-day attivamente sfruttata. Critiche 11 vulnerabilità RCE e altre legate a LDAP e Active Directory.
Autore: Redazione SecurityOpenLab
Sono 134 le vulnerabilità chiuse da Microsoft nella tornata di aprile del tradizionale Patch Tuesday, di cui una sola è zero-day sfruttata attivamente. Le falle considerate critiche sono 11 e tutte di tipo RCE, 49 sono i bug che aprono all’escalation dei privilegi, 17 quelle legate alla divulgazione di informazioni.
Come sempre, diamo visibilità alle falle più gravi. La prima è la zero-day, monitorata con la sigla CVE-2025-29824: è una falla legata all'escalation di privilegi e coinvolge il driver CLFS (Common Log File System) di Windows. Quando sfruttata attivamente, la falla in questione consente agli attaccanti che operano in locale di ottenere privilegi di SYSTEM sul dispositivo colpito. Il punteggio CVSS assegnato è di 7.8 perché l’attaccante deve operare in locale, ma l’installazione della patch è urgente perché è già stata attivamente sfruttata come zero-day da parte del malware PipeMagic distribuito dal gruppo Storm-2460. Inoltre, la falla è stata sfruttata come zero-day dal gruppo ransomware RansomEXX per ottenere un’escalation di privilegi.
Passiamo al gruppo di vulnerabilità critiche monitorate con le sigle CVE-2025-26671, CVE-2025-27480 e CVE-2025-27482, tutte riconducibili all'esecuzione di codice da remoto di Windows Remote Desktop Gateway. L’altro denominatore comune è il punteggio CVSS di 8.1. Per sfruttare queste falle un attaccante deve vincere una race condition.
Sono critiche anche le falle CVE-2025-26663 e CVE-2025-26670 di tipo RCE, che interessano rispettivamente il protocollo LDAP di Windows e il client LDAP. Il punteggio assegnato è di 8.1 e Microsoft ne valuta probabile lo sfruttamento, nonostante anche in questo caso per riuscire nell’intento gli attaccanti devono vincere una race condition. La posta in gioco, in caso di riuscita, è la possibilità di eseguire codice da remoto sull’host interessato.
Passiamo poi al bug monitorato con la sigla CVE-2025-27740, a cui è associato un punteggio CVSS di 8.8. A preoccupare è il fatto che riguarda Active Directory Certificate Services e che uno sfruttamento riuscito consentirebbe a un attaccante di ottenere i privilegi di amministratore di dominio e manipolare gli account. Anche in questo caso, Microsoft è cauta e considera lo sfruttamento “meno probabile".
L’elenco completo delle patch pubblicate da Microsoft per questo Patch Tuesday è disponibile qui. Come sempre, consigliamo di applicare le patch il prima possibile e di eseguire scansioni regolari dell'ambiente per identificare sistemi vulnerabili. Ricordiamo che il punteggio delle falle non è l’unico criterio per stabilire la priorità di patching: ogni infrastruttura ha dinamiche proprie. È fondamentale affidare la gestione delle patch a personale esperto, in grado di valutare le urgenze in base alle specificità dei singoli casi.