Rilevamento CVE-2025-21298: Vulnerabilità Critica Zero-Click OLE in Microsoft Outlook che Comporta Esecuzione di Codice Remoto
Indice:
Appena a ridosso della divulgazione di una vulnerabilità di denial-of-service (DoS) in Windows LDAP, nota come CVE-2024-49113 alias LDAPNightmare, un’altra vulnerabilità altamente critica riguardante i prodotti Microsoft si presenta sulla scena. La vulnerabilità di Microsoft Outlook recentemente corretta e tracciata come CVE-2025-21298 pone significativi rischi per la sicurezza delle email consentendo agli attaccanti di eseguire RCE su dispositivi Windows tramite una email appositamente creata.
Rileva i Tentativi di Sfruttamento di CVE-2025-21298 con la Regola Sigma Gratuita di SOC Prime
Nel solo gennaio 2025, 2.560 vulnerabilità sono state identificate, rendendo l’inizio dell’anno un periodo particolarmente ad alto rischio a causa dell’aumento delle vulnerabilità sotto sfruttamento attivo. Esempi notevoli includono CVE-2024-49112, CVE-2024-55591, e CVE-2024-49113.
Intensificando ulteriormente l’urgenza, CVE-2025-21298—una falla zero-click con un punteggio di gravità di 9.8 che comporta l’esecuzione di codice remoto (RCE) su istanze interessate—è stata divulgata, rappresentando una grave minaccia che richiede un’azione immediata. SOC Prime Platform per la difesa informatica collettiva offre una regola Sigma gratuita per rilevare tempestivamente i tentativi di sfruttamento.
MS Office Rilascia File Sospetti (via file_event)
Questa regola aiuta a identificare i sistemi che interagiscono con .rtf file o altri tipi di file sospetti comunemente associati allo sfruttamento OLE, con un ulteriore focus sulla patching degli host che elaborano attivamente estensioni ad alto rischio (ad es., .rtf, .dll, .exe). La rilevazione è compatibile con soluzioni multiple SIEM, EDR, e Data Lake e mappata a MITRE ATT&CK, affrontando la tecnica di Exploitation for Client Execution (T1203) e la sotto-tecnica Phishing: Spearphishing Attachment (T1566.001). Inoltre, la regola è arricchita con estesi metadati, comprese referenze CTI, cronologie degli attacchi, e altro.
I professionisti della sicurezza che cercano contenuti più rilevanti relativi ai tentativi di sfruttamento delle vulnerabilità possono tracciare eventuali nuove regole aggiunte al Threat Detection Marketplace con tag CVE-2025-21298. Inoltre, i difensori informatici possono accedere all’intero stack di rilevamento mirato alla rilevazione proattiva dello sfruttamento delle vulnerabilità cliccando sul pulsante Explore Detections sotto.
Analisi di CVE-2025-21298
CVE-2025-21298, una vulnerabilità critica zero-click RCE affrontata nell’ultimo aggiornamento Patch Tuesday 2025 di Microsoft, è valutata 9.8 in base al punteggio CVSS. La falla può essere attivata da un documento RTF dannoso, spesso inviato come allegato o link in campagne di phishing progettate per attirare le vittime ad aprirli.
La vulnerabilità esiste in Windows OLE, una tecnologia che consente l’incorporamento e il collegamento di documenti e oggetti. Secondo Microsoft, l’esploit può verificarsi se una vittima apre o visualizza in anteprima un’email appositamente predisposta in Outlook. Gli attaccanti sfruttano questa falla inviando un’email maligna, e semplicemente aprendo o visualizzando l’email in Outlook può scatenare RCE sul sistema bersaglio.
I difensori considerano CVE-2025-21298 una grande minaccia per le organizzazioni a causa della sua bassa complessità di attacco e del basso livello di interazione utente. Al termine dello sfruttamento, la vulnerabilità potrebbe causare il completo compromesso del sistema, dando agli attaccanti il via libera per eseguire codice arbitrario, installare software offensivo, modificare o eliminare dati e accedere a informazioni sensibili.
Come potenziali misure di mitigazione di CVE-2025-21298, è imperativo applicare immediatamente la patch, specialmente per quanto riguarda i client email come Outlook. Per le organizzazioni impossibilitate a installare gli aggiornamenti richiesti, i difensori raccomandano di utilizzare la soluzione alternativa fornita da Microsoft per aprire i file RTF da fonti sconosciute in formato testo semplice. Fai affidamento su SOC Prime Platform per lo sfruttamento proattivo delle vulnerabilità e una difesa a prova di futuro contro qualsiasi minaccia cibernetica emergente utilizzando una suite completa di prodotti per il rilevamento avanzato delle minacce, la caccia automatizzata delle minacce, e l’ingegneria del rilevamento guidata dall’intelligence.
