Prima di procedere
Un'allarmante ondata di attacchi informatici sta prendendo di mira i sistemi Windows, sfruttando sia vulnerabilità zero-day note da tempo che patch rilasciate da Microsoft che si sono rivelate inefficaci. Questa combinazione letale sta permettendo a gruppi di hacker di orchestrare campagne su vasta scala, mettendo a rischio infrastrutture critiche e dati sensibili in tutto il mondo.
La prima vulnerabilità critica è la ZDI-CAN-25373, una falla zero-day rimasta non rilevata fino a marzo di quest'anno, quando è stata scoperta dagli esperti di Trend Micro. Le indagini hanno rivelato che almeno 11 gruppi di hacker, alcuni dei quali collegati a governi stranieri, hanno attivamente sfruttato questa vulnerabilità per diffondere software dannoso. Gli attacchi hanno preso di mira infrastrutture in quasi 60 paesi, con un impatto particolarmente significativo negli Stati Uniti, in Canada, in Russia e in Corea del Sud.
La vulnerabilità risiede nella gestione dei file di collegamento Windows con estensione .lnk. Gli attaccanti possono creare collegamenti apparentemente innocui che, una volta aperti, eseguono codice dannoso in modo invisibile all'utente. Una caratteristica particolarmente insidiosa di questa falla è la sua capacità di nascondere i comandi eseguiti all'attivazione del collegamento, rendendo l'attacco estremamente difficile da rilevare. A distanza di sette mesi dalla sua scoperta, Microsoft non ha ancora rilasciato una patch efficace per risolvere questa vulnerabilità, ora identificata come CVE-2025-9491.
Recentemente, la società di sicurezza informatica Arctic Wolf ha reso noto di aver individuato una vasta campagna in cui il gruppo cinese UNC-6384 ha sfruttato la vulnerabilità CVE-2025-9491 per lanciare attacchi mirati in diversi paesi europei. L'obiettivo finale di questi attacchi era la distribuzione del trojan PlugX, progettato per assumere il controllo completo dei dispositivi compromessi. Per aumentare ulteriormente la furtività, il trojan viene mantenuto in forma crittografata fino all'ultima fase dell'attacco.
"L'ampiezza geografica degli attacchi, che coinvolgono diversi paesi europei in un breve lasso di tempo, suggerisce un'operazione di raccolta di informazioni su vasta scala o lo sviluppo di team operativi paralleli con obiettivi indipendenti ma strumenti condivisi", ha dichiarato Arctic Wolf. "La coerenza nell'esecuzione dei compiti indica una progettazione centralizzata degli strumenti e degli standard di sicurezza operativa, anche se le fasi di implementazione sono distribuite tra più team".
In assenza di una patch per la vulnerabilità CVE-2025-9491, le opzioni di difesa per gli utenti sono limitate. La misura più efficace consiste nel bloccare completamente la funzionalità dei file .lnk, disabilitando o limitando l'uso di collegamenti provenienti da fonti non attendibili. Questo può essere fatto configurando Esplora file per disabilitare l'esecuzione automatica di tali file. La gravità della vulnerabilità CVE-2025-9491 è stata valutata con un punteggio di 7 su 10.
La seconda vulnerabilità sfruttata attivamente dagli hacker è la CVE-2025-59287, che ha interessato i servizi di aggiornamento di Windows Server (WSUS), utilizzati dagli amministratori per installare, aggiornare e rimuovere applicazioni su vari server. Microsoft ha tentato di risolvere questa vulnerabilità con un aggiornamento di emergenza rilasciato la scorsa settimana, ma il tentativo iniziale non è andato a buon fine. La criticità di questa vulnerabilità è stata valutata con un punteggio elevato di 9,8 su 10.
L'aggiornamento di sicurezza di ottobre di Microsoft mirava a chiudere questa falla, che consentiva agli aggressori di eseguire codice da remoto sui dispositivi vulnerabili. Tuttavia, i test successivi hanno rivelato che il problema non era stato completamente risolto. Successivamente, Microsoft ha rilasciato una patch aggiuntiva per affrontare la questione.
La società di sicurezza informatica Huntress ha segnalato di aver rilevato attacchi che sfruttavano la vulnerabilità CVE-2025-59287 fino al 23 ottobre, praticamente in concomitanza con il rilascio della seconda correzione da parte di Microsoft. Sophos, un'altra azienda del settore, ha confermato di aver bloccato diversi attacchi ai propri clienti attraverso questa vulnerabilità il 24 ottobre.
In sintesi, la combinazione di vulnerabilità zero-day non corrette e patch difettose sta creando un ambiente di rischio elevato per gli utenti di Windows. È fondamentale adottare misure di sicurezza proattive, come la disabilitazione dei file .lnk non attendibili e l'applicazione tempestiva degli aggiornamenti di sicurezza, per proteggere i propri sistemi da queste minacce in continua evoluzione. Le aziende dovrebbero monitorare attentamente i propri sistemi WSUS e assicurarsi che tutte le patch di sicurezza siano installate correttamente.
