Sono 78 le vulnerabilità in Windows e nelle sue applicazioni su cui è intervenuta Microsoft in occasione del rilascio del Patch Tuesday per il mese di maggio 2025.
Sette sono state classificate come zero-day: per cinque di loro risulta esserci anche uno sfruttamento attivo in rete (CVE-2025-30400, CVE-2025-32701, CVE-2025-32706, CVE-2025-32709, CVE-2025-30397), mentre le altre due sono già state divulgate pubblicamente (CVE-2025-26685 e CVE-2025-32702).
Delle 78 vulnerabilità corrette con il pacchetto cumulativo di aggiornamenti di questo mese, 11 sono classificate come critiche, 66 come importanti e una come di bassa gravità. Ventotto di queste vulnerabilità portano all’esecuzione di codice remoto, 21 sono bug di escalation dei privilegi e altre 16 sono classificate come falle di divulgazione delle informazioni.
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Le cinque zero-day sfruttate attivamente in rete
Ricordiamo che Microsoft classifica una falla zero-day come pubblicamente divulgata o attivamente sfruttata mentre non è disponibile una correzione ufficiale.
Al momento, non sono stati forniti ulteriori dettagli tecnici su come le falle di sicurezza siano state utilizzate negli attacchi in rete, così da consentire al maggior numero possibile di utenti di applicare le patch prima che altri criminali informatici possano a loro volta sfruttarle.
Ecco i dettagli delle cinque vulnerabilità che risultano essere già sfruttate in rete:
- CVE-2025-32701: vulnerabilità identificata in Windows Common Log File System Driver. Si tratta di un problema di sicurezza di tipo “use after free” (UAF, uso di memoria dinamica, anche se già deallocata, a causa di un errore nel codice). Qualora venisse sfruttato, potrebbe consentire a un attaccante di elevare i propri privilegi a livello SYSTEM.
- CVE-2025-32706: seconda vulnerabilità identificata in Windows Common Log File System Driver che potrebbe consentire a un attaccante di elevare i propri privilegi a livello SYSTEM. A differenza della precedente, lo sfruttamento avviene in seguito alla convalida impropria di input forniti al driver di sistema.
- CVE-2025-32709: vulnerabilità di elevazione dei privilegi identificata nel driver delle funzioni ausiliarie di Windows per WinSock. Un attaccante in grado di sfruttarla potrebbe ottenere privilegi di sistema a livello locale sulla macchina esposta.
- CVE-2025-30397: si tratta di una vulnerabilità di esecuzione di codice in remoto che causa una corruzione di memoria del motore di scripting delle pagine web e che può essere sfruttata attraverso Microsoft Edge o Internet Explorer. Come si legge nel relativo bollettino di sicurezza, “L’accesso a una risorsa che utilizza un tipo di file incompatibile (“type confusion”) in Microsoft Scripting Engine consente a un aggressore non autorizzato di eseguire codice in rete”. Per lo sfruttamento di questa vulnerabilità è necessario indurre un utente autenticato sul sistema esposto a cliccare su un collegamento appositamente creato in Edge o Internet Explorer.
- CVE-2025-30400: anche questa quinta vulnerabilità, identificata nella libreria DWM Core di Microsoft, consente agli attaccanti di elevare i propri privilegi a livello SYSTEM.
I dettagli delle altre vulnerabilità zero-day
Come dicevamo, in occasione del Patch Tuesday del mese di maggio 2025 Microsoft ha corretto anche altre due vulnerabilità zero-day divulgate pubblicamente, ma al momento non ancora sfruttate in maniera attiva.
Ecco i dettagli:
- CVE-2025-26685: vulnerabilità identificata in Microsoft Defender che potrebbe consentire a un attaccante di eseguire lo spoofing dell’identità di un altro account. La gravità di questa falla di sicurezza risiede nel fatto che può essere sfruttata da un attaccante non autenticato con accesso alla LAN.
- CVE-2025-32702: questa vulnerabilità riguarda Visual Studio e, qualora venisse sfruttata, potrebbe consentire l’esecuzione di codice remoto mediante operazioni di command injection da parte di un attaccante non autenticato.
Installiamo gli aggiornamenti Microsoft
L’analisi delle vulnerabilità evidenzia l’importanza di mantenere sempre aggiornati i propri sistemi e i software installati su di essi, soprattutto in un panorama tecnologico in rapida evoluzione dove le minacce alla sicurezza informatica sono sempre in agguato.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
