Vulnerabilità CVE-2025-12036: Nuovo exploit critico di codice remoto JavaScript V8 di Chrome

Analisi

CVE‑2025‑62215 è una vulnerabilità critica di race condition nel Kernel di Windows che è stata corretta da Microsoft nella sua release del Patch Tuesday di novembre 2025. La falla consente a un attaccante con accesso locale a bassa priorità di sfruttare una condizione di “doppio free” nella memoria del kernel ed elevare i privilegi a SYSTEM. Poiché è attivamente sfruttata e colpisce tutte le edizioni supportate del sistema operativo Windows (e ESU per Windows 10), le organizzazioni si trovano di fronte a un rischio reale di compromissione completa del sistema.

Indagine

Per indagare sull’esposizione a CVE-2025-12036, i team di sicurezza dovrebbero iniziare mappando tutti gli endpoint che utilizzano Chrome o altri browser basati su Chromium. Inventariare le versioni del browser su Windows, macOS e Linux e contrassegnare tutti i sistemi che eseguono versioni precedenti a Chrome 141.0.7390.122/.123 come potenzialmente vulnerabili. Successivamente, correlare gli endpoint non patchati con periodi di attività di navigazione ad alto rischio, come accesso a siti web non attendibili, recenti campagne di phishing o domini sospetti di tipo watering-hole. Rivedere la telemetria degli strumenti EDR, i log delle estensioni del browser e i log di proxy o firewall per visite ai domini sospetti o di nuova registrazione che servono JavaScript pesante, crash del browser o comportamenti anomali del sandbox che possono indicare tentativi di exploit, e catene di processo insolite generate dal browser, inclusi shell di comando o motori di scripting. Per approfondire la copertura, utilizzare contenuti di rilevamento contrassegnati con CVE e query di caccia in SIEM, EDR, e Data Lakes, e allineare i risultati alle tecniche MITRE ATT&CK come Drive-by Compromise e Exploitation for Client Execution.

Mitigazione

Poiché lo sfruttamento di CVE-2025-12036 è banale una volta che un utente si trova su una pagina dannosa, l’applicazione delle patch deve essere trattata come urgente. Tutti i browser basati su Chrome e Chromium dovrebbero essere aggiornati almeno a Chrome 141.0.7390.122/.123 su Windows e macOS, e 141.0.7390.122 su Linux, con gli aggiornamenti automatici abilitati ovunque possibile. I team di sicurezza dovrebbero verificare lo stato delle patch indirizzando gli utenti, o forzando tramite MDM, a visitare Impostazioni → Informazioni su Chrome in modo che il browser possa scaricare e applicare le ultime correzioni. Allo stesso tempo, rinforzare l’utilizzo del browser applicando il principio del minimo privilegio sugli endpoint, utilizzando il filtraggio degli URL e gateway web sicuri per bloccare domini dannosi o ad alto rischio noti, e abilitando protezioni come l’isolamento dei siti e politiche rigide sulle estensioni. Infine, integrare CVE-2025-12036 nella gestione delle vulnerabilità in modo che i sistemi appena implementati o raramente usati con versioni obsolete di Chrome siano rapidamente identificati e risolti.

Risposta

Se sospetti che CVE-2025-12036 sia stato sfruttato nel tuo ambiente, inizia isolando gli endpoint interessati dalle reti non attendibili mantenendoli accessibili per l’analisi forense. Preserva le prove, comprese le immagini della memoria per il browser e i processi correlati, i log di sistema e delle applicazioni (in particolare i rapporti sugli arresti anomali di Chrome e la cronologia del browser), e le catture di rete attorno alla finestra di sospetta esploitazione. Quindi, cerca attività post-esploit: meccanismi di persistenza insoliti come nuovi compiti pianificati o servizi, binari o script sospetti rilasciati dopo sessioni di navigazione rischiose, e segni di furto di credenziali come accesso al portachiavi delle password, dumping dei token, o eventi di autenticazione anomali. Contieni ed eradica rimuovendo file dannosi e artefatti di persistenza, e reinstalla gli endpoint ad alto rischio se necessario. Infine, recupera e migliora ruotando le credenziali, aggiornando i contenuti di rilevamento per schemi di RCE su browser/V8, e informando utenti e amministratori sui rischi di esploit drive-by e pratiche di navigazione più sicure legate a CVE-2025-12036.