Nell’appuntamento di marzo con il Patch Tuesday, Microsoft ha pubblicato le correzioni per 57 vulnerabilità, di cui sei zero-day sfruttate attivamente, 23 di escalation dei privilegi, 23 di tipo RCE e 3 che consentono il bypass delle difese di sicurezza.

Come di consueto focalizziamo l’attenzione sulle falle Zero-day. Fra quelle che preoccupano maggiormente, la prima è la CVE-2025-24035, una falla di esecuzione di codice da remoto che interessa il servizio Windows Remote Desktop Gateway, a cui è stato assegnato un punteggio CVSS di 8.1. Il bug sfrutta un problema UAF (Use-After-Free), ossia un errore di programmazione che si verifica quando un software continua a utilizzare una porzione di memoria dopo averla rilasciata. Questo errore può permettere a un attaccante di manipolare la memoria ‘restituita’ per far eseguire al sistema azioni non autorizzate.

Nel caso specifico della vulnerabilità in questione, il software non gestisce correttamente la memoria durante l’apertura o la chiusura del websocket. Un attaccante da remoto, non autenticato, può introdursi nella gestione delle operazioni di inizializzazione e chiusura del websocket e ottenere l'esecuzione di codice arbitrario nel processo di Gateway Desktop remoto. Microsoft ha contrassegnato questa falla a sfruttamento probabile, da qui il punteggio CVSS elevato e l’esortazione a installare la patch il prima possibile.

Sono molti i punti in comune fra la falla appena descritta a quella monitorata con la sigla CVE-2025-24045: hanno entrambe un punteggio CVSS analogo, anche questa seconda falla è relativa all'esecuzione di codice da remoto nel servizio Gateway Desktop. Ritroviamo il problema UAF, che è a carico della gestione dei callback di connessione e disconnessione. Per sfruttare correttamente questa vulnerabilità, l'attaccante deve connettersi a un sistema con il ruolo Gateway Desktop remoto. Anche in questo caso Microsoft segnala una elevata probabilità di sfruttamento.

Passiamo alla falla contraddistinta dalla sigla CVE-2024-9157, che preoccupa in maniera significativa dato che ha un punteggio CVSS associato di 9.9 ed è segnalata come ad alta possibilità di sfruttamento. Parliamo di un bug di escalation dei privilegi in una DLL del servizio Synaptics Audio Effect Component distribuita con Windows Update. Il servizio Synaptics crea un cosiddetto named pipe, ossia un canale di comunicazione tra programmi, privo delle restrizioni adeguate perché la Access Control List, che definisce chi può accedere a una risorsa, lascia il canale aperto a tutti, anche agli utenti non autorizzati. Questo permette a chi si connette al canale in questione di specificare il nome di una DLL da caricare nella memoria del servizio: un attaccante può fornire una DLL dannosa a piacimento, che verrà eseguita con i privilegi del servizio Synaptics (spesso elevati).

Abbiamo poi una ulteriore falla RCE: CVE-2025-24064, che riguarda il servizio dei nomi di dominio di Windows. È contrassegnata come critica e ha un punteggio CVSS di 8.1, ma Microsoft non la considera a probabile sfruttamento perché richiede che l’attaccante invii un messaggio di aggiornamento DNS perfettamente sincronizzato al server vulnerabile, così da causare errore UAF e l'esecuzione di codice in modalità remota.

Sempre a bassa probabilità di sfruttamento è anche la CVE-2025-26645: un attaccante che ha assunto il controllo di un server desktop remoto potrebbe ottenere l’esecuzione di codice da remoto su qualsiasi computer client vulnerabile che si connetta al servizio. Il punteggio CVSS è di 8.8.

Ricordiamo che il punteggio di criticità assegnato alle falle non è l’unico parametro di valutazione per la priorità di patching: ciascuna infrastruttura ha necessità differenti, che devono essere valutate continuamente da personale qualificato, nell’ambito di una attività di patch management costante e proattiva al fine di assicurare una maggiore resilienza dell’infrastruttura agli attacchi cyber.