Il mese di dicembre ha visto Microsoft pubblicare un importante aggiornamento di sicurezza, noto come Patch Tuesday, che ha trattato 59 vulnerabilità comuni, portando il totale per il 2025 a oltre 1.100. Questo aggiornamento si inserisce in un anno particolarmente impegnativo per i professionisti della sicurezza informatica.
Tra le vulnerabilità affrontate, tre sono state classificate come critiche. Una di queste, identificata con il codice CVE-2025-62221, è già nota per essere attivamente sfruttata da attaccanti nel mondo reale, mentre altre due hanno prove di concetto pubbliche disponibili ma non sono ancora state utilizzate in attacchi.
Vulnerabilità critiche nel dettaglio
CVE-2025-62221 colpisce il Windows Cloud Files Mini Filter Driver, e il problema deriva da una condizione di use after free (UAF).
Questo significa che il programma continua a fare riferimento a porzioni di memoria che sono state liberate, creando situazioni imprevedibili e potenzialmente pericolose. Gli aggressori possono sfruttare questa vulnerabilità per ottenere un aumento dei privilegi all’interno del sistema della vittima.
Implicazioni per la sicurezza
Secondo Mike Walters, co-fondatore e CEO di Action1, anche se non esiste ancora una prova di concetto pubblica per CVE-2025-62221, le ricerche precedenti su problemi simili suggeriscono che gli attaccanti potrebbero già conoscere le tecniche per sfruttarla. Questo tipo di vulnerabilità può essere particolarmente devastante se combinato con altre debolezze, permettendo a un aggressore di passare da accessi a basso livello a un controllo completo del sistema.
Walters ha anche sottolineato che l’ampia diffusione dei Cloud Files rappresenta un rischio significativo per i difensori.
L’abbondanza di accessi a privilegi minimi, insieme all’uso di endpoint condivisi, potrebbe esporre molti utenti a potenziali attacchi.
Altre vulnerabilità significative
Questo mese, due vulnerabilità di remote code execution (RCE) hanno attirato l’attenzione. La prima, CVE-2025-54100, riguarda una falla di iniezione di comandi in Windows PowerShell, che potrebbe consentire a un attaccante non autenticato di eseguire codice arbitrario come se fosse un utente autorizzato a eseguire comandi PowerShell. Data l’importanza di PowerShell nelle operazioni offensive, questa vulnerabilità potrebbe essere sfruttata facilmente, soprattutto in attacchi di ingegneria sociale mirati a utenti privilegiati.
Vulnerabilità in GitHub Copilot
Un’altra vulnerabilità di rilievo è quella che colpisce GitHub Copilot per JetBrains, identificata come CVE-2205-64671. Questa falla consente di ottenere l’esecuzione di codice su sistemi interessati, manipolando il large language model per eseguire comandi che eludono le restrizioni di sicurezza.
Il meccanismo noto come Cross Prompt Injection consente agli agenti LLM di modificare i prompt, alimentando l’input con dati provenienti da server esterni, aumentando così il rischio di attacchi.
Nonostante Microsoft abbia etichettato questa vulnerabilità come meno probabile da sfruttare, coloro che utilizzano GitHub Copilot per JetBrains dovrebbero considerare l’urgenza di applicare le patch, poiché i target di questo attacco tendono ad avere accesso privilegiato a risorse sensibili.
Un anno di sfide per la sicurezza
Riflettendo sull’anno appena trascorso, Dustin Childs di Trend Micro ha evidenziato che Microsoft ha corretto un totale di 1.139 CVE nel 2025, rendendolo il secondo anno più impegnativo in termini di volume di vulnerabilità, a soli 111 CVE dal record del 2025.
Con l’espansione dell’offerta di Microsoft e l’aumento delle vulnerabilità legate all’intelligenza artificiale, il 2026 si preannuncia come un anno ancor più critico.
