Sulla scia di CVE-2025-66516, la vulnerabilità Apache Tika XXE di massima gravità, sono emerse un paio di altre falle di sicurezza nei prodotti Windows. Nell’aggiornamento di sicurezza di dicembre 2025, Microsoft ha affrontato 57 vulnerabilità, tra cui due zero-day, CVE-2025-62221 e CVE-2025-54100.

Le tecnologie di Microsoft supportano una grande parte dell’infrastruttura digitale globale, rendendo la sicurezza del suo ecosistema particolarmente critica. Il 2025 BeyondTrust Microsoft Vulnerabilities Report riporta che il 2024 ha stabilito un nuovo record con 1.360 vulnerabilità Microsoft divulgate — un aumento dell’11% rispetto all’anno precedente — con Elevation of Privilege (EoP) e RCE i problemi che spiccano come i più gravi. Questa tendenza è continuata nel 2025, con Tenable che ha segnalato che Microsoft ha distribuito patch per 1.129 CVE nel 2025— il secondo anno consecutivo in cui l’azienda ha superato la soglia delle mille vulnerabilità. Nel rilascio del December 2025 Patch Tuesday, i problemi EoP hanno rappresentato metà di tutte le vulnerabilità affrontate, con le vulnerabilità RCE che seguono con circa un terzo (33,9%). Gli zero-day sopra menzionati affrontati nel December 2025 Patch Tuesday rientrano anche in queste categorie di minacce. 

Registrati alla piattaforma SOC Prime, la prima piattaforma di rilevamento di intelligence AI-Native del settore per la difesa in tempo reale, per esplorare una raccolta di oltre 600.000 regole di rilevamento indirizzate alle ultime minacce e dotare il tuo team di IA e massima competenza in cybersecurity. Clicca Esplora i Rilevamenti per raggiungere l’ampia serie di regole per il rilevamento dello sfruttamento delle vulnerabilità, pre-filtrata usando il tag personalizzato “CVE”.

Esplora i Rilevamenti

Tutte le regole di rilevamento possono essere utilizzate su diverse piattaforme SIEM, EDR e Data Lake e sono allineate con l’ultima struttura MITRE ATT&CK® versione 18.1. Esplora l’intelligence delle minacce AI-native, inclusi CTI riferimenti, cronologie degli attacchi, configurazioni di revisione, raccomandazioni di triage e ulteriore contesto di minaccia con cui ciascuna regola è arricchita.

I team di sicurezza possono anche ridurre significativamente il carico di lavoro dell’ingegneria del rilevamento con Uncoder AI convertendo istantaneamente la logica di rilevamento su diversi formati linguistici per migliorare l’accuratezza della traduzione, creando rilevamenti da report di minacce grezzi, visualizzando Flussi di Attacco, accelerando l’arricchimento e la messa a punto mentre snellisce i flussi di lavoro di convalida. 

Analisi di CVE-2025-62221 e CVE-2025-54100

Microsoft sta concludendo l’anno rilasciando patch per 57 vulnerabilità di sicurezza nei prodotti Windows coperte nel suo aggiornamento di sicurezza di dicembre 2025, compresi due zero-day con un punteggio CVSS di 7.8, CVE-2025-62221 e CVE-2025-54100.

La falla attivamente sfruttata, CVE-2025-62221, è una vulnerabilità di tipo use-after-free relativa a un’elevazione dei privilegi nel driver Windows Cloud Files Mini Filter che consente a un aggressore locale autenticato di elevare i privilegi a SYSTEM. Sfruttando questa falla, gli avversari possono ottenere il controllo completo dei sistemi Windows colpiti senza intervento dell’utente, sebbene sia richiesta l’accesso locale.

Il venditore ha confermato l’esistenza di 2025-62221 attivo sfruttamento in natura; tuttavia, i metodi di attacco specifici rimangono non divulgati. La vulnerabilità colpisce i sistemi con il minidriver Cloud Files, che è presente anche se app come OneDrive, Google Drive o iCloud non sono installate. 

A causa dell’aumento dei rischi di sfruttamento, CISA ha recentemente aggiunto CVE-2025-62221 al suo catalogo KEV, richiedendo alle agenzie del ramo esecutivo civile federale di applicare l’aggiornamento entro il 30 dicembre 2025. 

Un altro zero-day, CVE-2025-54100, è un difetto RCE in Windows PowerShell che consente ad attaccanti non autenticati di eseguire codice arbitrario se riescono a far eseguire a un utente un comando PowerShell appositamente realizzato, ad esempio tramite Invoke-WebRequest.

Il rischio diventa più pronunciato quando abbinato a tattiche comuni di ingegneria sociale: gli avversari potrebbero ingannare un utente o un amministratore per eseguire un frammento di PowerShell che recupera contenuti dannosi da un server remoto, innescando un bug di analisi e consentendo l’esecuzione di codice o l’impianto di consegna. Sebbene il problema sia noto pubblicamente, Microsoft non riporta sfruttamenti attivi e attualmente valuta la probabilità di sfruttamento come bassa. La falla non richiede privilegi ma si affida all’interazione dell’utente, rendendo più probabile che l’ingegneria sociale sia il percorso di attacco più probabile.

Come potenziali  misure di mitigazione per CVE-2025-62221 e CVE-2025-54100, le organizzazioni che si affidano ai corrispondenti prodotti Windows sono invitate ad applicare immediatamente le patch. Con la Piattaforma di Intelligenza del Rilevamento AI-Native di SOC Prime, i team SOC possono reperire contenuti di rilevamento dal più grande e aggiornato repository, adottare senza soluzione di continuità l’intero processo dalla rilevazione alla simulazione nei loro processi di sicurezza, orchestrare i flussi di lavoro nella loro lingua naturale e navigare fluidamente nel panorama delle minacce in continua evoluzione mentre rafforzano le difese su larga scala.