redmount.xyz

Mentre il caldo di Ferragosto ci avvolge, Microsoft ci ricorda che il supporto per Windows 10 terminerà il 14 ottobre 2025: sarà l’ultimo aggiornamento mensile di sicurezza disponibile per tutte le edizioni — Home, Pro, Enterprise, Education e IoT Enterprise — di Windows 10 versione 22H2. Non è la grande estate di Microsoft: da quella data, non verranno più fornite patch di sicurezza, correzioni o assistenza tecnica per Windows 10. Un cambio epocale per chi è abituato a considerare questa versione come affidabile e immortale. Ma non tutto è perduto! Chi non è pronto a passare subito a Windows 11 può comunque proteggere i propri sistemi. L’opzione Extended Security Updates (ESU) consente di ottenere aggiornamenti aggiuntivi fino al 13 ottobre 2026 per i consumatori (e fino al 10 ottobre 2028 per scuole e imprese). L’adesione costa 30 $ per utente domestico o 61 $ per azienda, ma è completamente gratuita per chi sincronizza il backup su cloud o accumula 1 000 punti Microsoft Rewards . In...

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...

Negli ultimi anni, l'evoluzione delle minacce ransomware ha seguito una traiettoria prevedibile quanto allarmante: da attacchi opportunistici a colpi chirurgici, mirati, capaci di bloccare intere infrastrutture critiche in pochi minuti. A questa corsa all’armamento offensivo non è seguita un’adeguata accelerazione sul fronte della difesa in tempo reale, perché identificare un attacco ransomware nel momento esatto in cui si innesca, e fermarlo prima che abbia criptato anche solo un decimo dei dati, è ancora un’impresa per pochi. Il lavoro presentato nel paper "ranDecepter: Real-time Identification and Deterrence of Ransomware Attacks", pubblicato il 1° agosto 2025 su arXiv, propone un approccio tecnico concreto e, soprattutto, scalabile, per affrontare questo problema alla radice: riconoscere l’attacco mentre è in atto e rispondere con una deterrenza immediata, attiva, ma non distruttiva. La logica di ranDecepter si distanzia dai soliti sistemi di detection ex post, che no...

Una settimana fa avevo parlato della falla critica che ha colpito SharePoint e dell'escalation preoccupante degli attacchi rilevati nella seconda settimana di luglio. A distanza di pochi giorni, il panorama delle minacce ha continuato ad evolversi, mostrando quanto sia urgente un cambio di passo nella gestione delle patch e nella sicurezza delle infrastrutture esposte. In questo approfondimento raccolgo i principali zero-day di fine luglio 2025, con tutti i dettagli tecnici, lo stato delle patch, e le implicazioni per chi gestisce ambienti vulnerabili. Il caso SharePoint merita una ripresa aggiornata. Parliamo delle vulnerabilità CVE-2025-53770 e CVE-2025-53771, classificate con un punteggio CVSS pari a 9.8. Gli attaccanti sfruttano un caricamento di script ASPX (tipicamente denominato "spinstall0.aspx") per esfiltrare le chiavi ASP.NET MachineKey dai server SharePoint non patchati. Ciò consente di generare token di autenticazione validi e mantenere accessi persistenti a...

L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603. Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle ...

Dieci anni fa nasceva il Kernel Self-Protection Project, conosciuto come KSPP, con l'obiettivo di cambiare il paradigma della sicurezza in Linux: non più semplicemente correggere vulnerabilità una per una, ma impedire in modo strutturale che intere classi di bug potessero esistere o essere sfruttate. Kees Cook, figura centrale del progetto e sviluppatore in Google, ha recentemente ripercorso dieci anni di progressi nel talk "Kernel Hardening: Ten Years Deep". Il punto di partenza era critico: in media una vulnerabilità nel kernel restava scoperta e sfruttabile per oltre cinque anni. Android e tanti altri sistemi basati su Linux venivano rilasciati con versioni vecchie del kernel, quindi prive delle ultime patch di sicurezza. Il KSPP ha introdotto un nuovo approccio: trasformare il kernel stesso in un ambiente ostile agli exploit. I risultati sono impressionanti. Grazie al lavoro del KSPP, alcune famiglie di bug sono scomparse. Array a lunghezza variabile (VLA), variabili ...

Microsoft ha rilasciato il suo consueto aggiornamento mensile di sicurezza, e quello di luglio 2025 è particolarmente ricco: 130 vulnerabilità corrette, di cui 9 classificate come “critical” e una 0-day già attivamente sfruttata. Ogni secondo martedì del mese – il celebre Patch Tuesday – arriva puntuale il bollettino di Redmond, ma stavolta non è uno di quei mesi “di routine”. La falla sotto i riflettori è CVE-2024-38080, un privilege escalation su Windows Hyper-V che permette a un utente con privilegi bassi di ottenere i permessi SYSTEM. Secondo Microsoft, è già in fase di exploit in attacchi reali. Non è stata diffusa una proof-of-concept pubblica (per ora), ma basta questo dettaglio a renderla prioritaria per chiunque gestisca sistemi Windows in produzione. Oltre alla 0-day, ci sono anche due vulnerabilità in ambiente Exchange (CVE-2024-38023 e CVE-2024-38070) che attirano l’attenzione: sono remote code execution e potenzialmente catastrofiche in ambienti aziendali dove Exchange on-...

Non succede spesso che sudo, uno dei comandi più fidati e scrutinati del mondo Unix, finisca sotto i riflettori per una vulnerabilità davvero seria. Stavolta è successo due volte, e una delle due fa davvero male. Due bug scoperti e documentati di recente – CVE-2025-32462 e CVE-2025-32463 – mostrano come, anche dopo più di 12 anni di sviluppo, errori silenziosi possano ancora nascondersi in piena vista. Il primo, CVE-32462, è quasi romantico per quanto è vecchio: un difetto nell’uso dell’opzione --host che, in determinate configurazioni di sudoers, può consentire a un utente locale di eseguire comandi con privilegi su host che non dovrebbe nemmeno poter vedere. Roba da manuale, bassa priorità, ma comunque un richiamo interessante per chi pensa che le configurazioni “da laboratorio” non portino guai. Il secondo è molto più cattivo. CVE-32463 sfrutta l’opzione -R di sudo, che consente di specificare una directory chroot. L’idea è che tu possa lanciare comandi in un ambiente isolato, ma ec...

Il Patch Tuesday di giugno 2025 ha visto Microsoft correggere 67 vulnerabilità, di cui 11 classificate come “Critiche” e 2 zero-day già attivamente sfruttate. L’attenzione principale va rivolta a CVE-2025-33053 e CVE-2025-31152, entrambe con impatti significativi su client desktop e ambienti enterprise. CVE-2025-33053 è una falla di esecuzione di codice remoto (RCE) nel protocollo WebDAV di Windows, con CVSS 8.8. Questa vulnerabilità viene attivamente sfruttata in campagne mirate da gruppi APT, incluso Stealth Falcon, secondo quanto riportato da Microsoft e analisti di threat intelligence. L’exploit si attiva quando l’utente interagisce con un link WebDAV appositamente predisposto, spesso veicolato tramite phishing o documenti malevoli. Una volta eseguito, l’attaccante può ottenere esecuzione di codice arbitrario con i privilegi dell’utente corrente, bypassando i meccanismi UAC su molte configurazioni standard. Un’altra vulnerabilità critica, CVE-2025-31152, riguarda il client SMB di W...

Negli ultimi giorni mi sono imbattuto in diversi articoli che parlano di una vulnerabilità piuttosto seria in Roundcube Webmail, un sistema open source che usano molti provider per offrire accesso alla posta via browser. In realtà, questa falla – tracciata come CVE-2024-37383 – non è nuova: è stata scoperta e corretta già a metà 2024. Quello che però è emerso in queste ore è che l’exploit è stato recentemente condiviso o venduto in forum underground, e che diversi gruppi (anche ben organizzati) stanno sfruttando attivamente la vulnerabilità. Il punto è che molti server non sono ancora stati aggiornati, e quindi l’attacco continua a funzionare. Di fatto, alcuni ricercatori hanno osservato una campagna attiva in cui l’attaccante invia email apparentemente innocue, spesso con un allegato .doc, ma in realtà manipolate in modo da far eseguire codice JavaScript nel contesto del browser dell’utente Roundcube. Una semplice apertura dell’email basta: non c’è bisogno che la vittima clicchi nulla...

Il 1° maggio 2025, Commvault, leader globale nelle soluzioni di protezione dei dati, ha confermato di essere stata vittima di un attacco informatico sofisticato. Un gruppo di hacker sponsorizzati da uno stato ha sfruttato una vulnerabilità zero-day, identificata come CVE-2025-3928, per violare l'ambiente Microsoft Azure dell'azienda.​ Dettagli della vulnerabilità CVE-2025-3928 La falla, con un punteggio di gravità CVSS di 8.7, risiedeva nel modulo Web Server di Commvault. Consentiva ad attaccanti remoti autenticati con privilegi limitati di installare webshells, ottenendo così accesso non autorizzato ai sistemi. La vulnerabilità interessava diversi componenti software, tra cui CommServe, Web Server e Command Center, su piattaforme Windows e Linux.​ Scoperta e risposta all'incidente L'attacco è stato rilevato il 20 febbraio 2025, quando Microsoft ha notificato attività sospette nell'ambiente Azure di Commvault. L'azienda ha immediatamente attivato il proprio pian...

Negli ultimi anni, la sicurezza informatica è diventata una priorità assoluta per utenti e aziende. Con il crescente numero di minacce informatiche, come malware, ransomware e phishing, proteggere i propri dispositivi è fondamentale. Microsoft, da sempre in prima linea nella lotta contro le minacce digitali, ha recentemente pubblicato un articolo sul suo sito ufficiale che sottolinea l'importanza di aggiornare il proprio sistema operativo Windows per garantire la massima sicurezza del PC. Perché Aggiornare Windows è Così Importante? Gli aggiornamenti di Windows non sono solo una questione di nuove funzionalità o miglioramenti estetici. Essi includono patch di sicurezza che riparano vulnerabilità scoperte nel sistema operativo. Queste vulnerabilità, se non corrette, possono essere sfruttate da hacker per accedere ai tuoi dati personali, installare software dannoso o compromettere l'intero sistema. Microsoft rilascia regolarmente aggiornamenti per affrontare queste minacce. Tutta...

Martedì Microsoft ha lanciato patch di sicurezza per contenere un totale di 71 vulnerabilità in Microsoft Windows e altri software, inclusa una correzione per una vulnerabilità di escalation dei privilegi attivamente sfruttata che potrebbe essere sfruttata insieme a bug di esecuzione di codice remoto per prendere il controllo su sistemi vulnerabili. Due dei difetti di sicurezza affrontati sono classificati come critici, 68 sono classificati come importanti e uno è classificato come livello di gravità basso, con tre dei problemi elencati come noti pubblicamente al momento del rilascio. I quattro giorni zero sono i seguenti: CVE-2021-40449 (punteggio CVSS: 7,8) - Vulnerabilità relativa all'elevazione dei privilegi di Win32k CVE-2021-41335 (punteggio CVSS: 7,8) - Vulnerabilità dell'elevazione dei privilegi del kernel di Windows CVE-2021-40469 (punteggio CVSS: 7.2) - Vulnerabilità dell'esecuzione di codice remoto del server DNS di Windows CVE-2021-41338 (punteggio CVSS: ...

I manutentori di LibreOffice e OpenOffice hanno inviato aggiornamenti di sicurezza al loro software di produttività per porre rimedio a molteplici vulnerabilità che potrebbero essere utilizzate da attori malintenzionati per alterare i documenti e farli apparire come se fossero firmati digitalmente da una fonte attendibile. L'elenco dei tre difetti è il seguente: CVE-2021-41830 / CVE-2021-25633 - Manipolazione di contenuti e macro con doppio attacco certificato CVE-2021-41831 / CVE-2021-25634 - Manipolazione del timestamp con avvolgimento della firma CVE-2021-41832 / CVE-2021-25635 - Manipolazione del contenuto con attacco di convalida del certificato Il successo dello sfruttamento delle vulnerabilità potrebbe consentire a un utente malintenzionato di manipolare il timestamp dei documenti ODF firmati e, peggio ancora, alterare il contenuto di un documento o autofirmare un documento con una firma non attendibile, che viene quindi ottimizzata per modificare l' algoritmo d...

L'Apache Software Foundation giovedì ha rilasciato ulteriori aggiornamenti di sicurezza per il suo prodotto HTTP Server per rimediare a quella che si dice sia una "correzione incompleta" per un attraversamento del percorso attivamente sfruttato e un difetto di esecuzione del codice remoto che ha corretto all'inizio di questa settimana. CVE-2021-42013 , poiché la nuova vulnerabilità è identificata come, si basa su CVE-2021-41773 , un difetto che ha avuto un impatto sui server Web Apache con la versione 2.4.49 e ha coinvolto un bug di normalizzazione del percorso che potrebbe consentire a un avversario di accedere e visualizzare arbitrariamente file archiviati su un server vulnerabile. Sebbene il difetto sia stato risolto dai manutentori nella versione 2.4.50, un giorno dopo il rilascio delle patch si è saputo che la debolezza poteva anche essere abusata per ottenere l'esecuzione di codice remoto se il modulo "mod_cgi" veniva caricato e la configurazione...

Apache ha rilasciato patch per affrontare due vulnerabilità di sicurezza, tra cui un percorso di attraversamento del percorso e un difetto di divulgazione dei file nel suo server HTTP che, secondo quanto riferito, viene attivamente sfruttato in natura. "È stato riscontrato un difetto in una modifica apportata alla normalizzazione del percorso in Apache HTTP Server 2.4.49. Un utente malintenzionato potrebbe utilizzare un attacco di attraversamento del percorso per mappare gli URL a file al di fuori della radice del documento prevista", hanno osservato i manutentori del progetto open source in un avviso pubblicato martedì. "Se i file al di fuori della radice del documento non sono protetti da 'richiedi tutto negato', queste richieste possono avere successo. Inoltre, questo difetto potrebbe far trapelare la fonte dei file interpretati come gli script CGI." Il difetto, registrato come CVE-2021-41773 , interessa solo la versione del server HTTP Apache 2.4.49. A...

Google giovedì ha spinto urgenti correzioni di sicurezza per il suo browser Chrome, tra cui un paio di nuovi punti deboli di sicurezza che la società ha affermato essere sfruttati in natura, rendendoli il quarto e il quinto zero-day attivi solo questo mese. I problemi, designati come CVE-2021-37975 e CVE-2021-37976 , fanno parte di un totale di quattro patch e riguardano un difetto use-after-free nel motore JavaScript V8 e WebAssembly, nonché una perdita di informazioni nel core. Come di solito accade, il gigante della tecnologia si è astenuto dal condividere ulteriori dettagli su come queste vulnerabilità zero-day sono state utilizzate negli attacchi fino a quando la maggior parte degli utenti non viene aggiornata con le patch, ma ha notato che è consapevole che "gli exploit per CVE-2021 -37975 e CVE-2021-37976 esistono allo stato selvatico." Un ricercatore anonimo è stato accreditato con la segnalazione CVE-2021-37975. La scoperta di CVE-2021-37976, d'altra parte, coi...

Google venerdì ha lanciato una patch di sicurezza di emergenza sul suo browser Chrome per risolvere un difetto di sicurezza noto per avere un exploit in natura. Cingolato come CVE-2.021-37.973 , la vulnerabilità è stata descritta come uso dopo gratuito in portali API , un sistema di navigazione pagina web che consente una pagina che mostra un'altra pagina come inserto e "eseguire una transizione a un nuovo stato, in cui la la pagina precedentemente inserita diventa il documento di primo livello." A Clément Lecigne di Google Threat Analysis Group (TAG) è stato attribuito il merito di aver segnalato il difetto. Ulteriori specifiche relative alla debolezza non sono state divulgate alla luce dello sfruttamento attivo e per consentire alla maggior parte degli utenti di applicare la patch, ma il gigante di Internet ha affermato di essere "consapevole dell'esistenza di un exploit per CVE-2021-37973. " L'aggiornamento arriva un giorno dopo che Apple si è moss...

Il produttore di apparecchiature di rete Cisco Systems ha implementato patch per affrontare tre vulnerabilità di sicurezza critiche nel suo sistema operativo di rete IOS XE che gli aggressori remoti potrebbero potenzialmente abusare per eseguire codice arbitrario con privilegi amministrativi e attivare una condizione denial-of-service (DoS) su dispositivi vulnerabili . L'elenco dei tre difetti è il seguente: CVE-2021-34770 (punteggio CVSS: 10,0) - Software Cisco IOS XE per controller wireless della famiglia Catalyst 9000 Vulnerabilità di esecuzione di codice remoto CAPWAP CVE-2021-34727 (punteggio CVSS: 9,8) - Vulnerabilità di overflow del buffer del software Cisco IOS XE SD-WAN CVE-2021-1619 (punteggio CVSS: 9,8) - Vulnerabilità di bypass dell'autenticazione NETCONF e RESTCONF del software Cisco IOS XE Il problema più grave è CVE-2021-34770, che Cisco chiama un "errore logico" che si verifica durante l'elaborazione dei pacchetti CAPWAP (Control And Provisionin...