CVE-2025-62215: Microsoft risolve la vulnerabilità zero-day nel Kernel di Windows sotto sfruttamento attivo
Subito dopo la divulgazione della critica non autenticata vulnerabilità RCE in Microsoft WSUS (CVE-2025-59287), Microsoft ha affrontato un altro grave difetto sotto sfruttamento attivo. Durante il rilascio del Patch Tuesday di novembre 2025, il colosso del software ha rilasciato correzioni per oltre 60 vulnerabilità, inclusa una zero-day critica, tracciata come CVE-2025-62215. Questa falla di escalation dei privilegi nel Kernel di Windows rappresenta un rischio significativo poiché consente agli attaccanti di ottenere privilegi di sistema elevati, compromettendo potenzialmente l’integrità dei dispositivi interessati.
Le tecnologie Microsoft supportano milioni di organizzazioni in tutto il mondo, rendendole una pietra angolare dell’ecosistema digitale odierno. Secondo il Rapporto sulle Vulnerabilità Microsoft di BeyondTrust 2025, nel 2024 sono state rilevate un record di 1.360 vulnerabilità di sicurezza nei prodotti Microsoft, un aumento dell’11% rispetto all’anno precedente. Tra queste, le vulnerabilità di Remote Code Execution (RCE) e di Elevation of Privilege (EoP) restano le più critiche. Allarmante, le falle di EoP da sole rappresentavano il 40% di tutti i problemi segnalati, evidenziando il grave rischio posto dalle vulnerabilità che permettono agli attaccanti di scalare i privilegi e prendere il controllo dei sistemi.
Iscriviti alla SOC Prime Platform per accedere al feed globale delle minacce attive, che offre informazioni in tempo reale sulle minacce informatiche e algoritmi di rilevamento curati per affrontare le minacce emergenti. Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake e sono mappate al framework MITRE ATT&CK® . Inoltre, ogni regola è arricchita con CTI link, timeline degli attacchi, configurazioni degli audit, raccomandazioni di triage e altro contesto rilevante. Premere il pulsante Esplora le rilevazioni per vedere l’intera stack di rilevamento per una difesa proattiva contro le vulnerabilità critiche filtrate per il tag “CVE”.
Gli ingegneri della sicurezza possono inoltre sfruttare Uncoder AI, un IDE e co-pilota per l’ingegneria del rilevamento. Con Uncoder, i difensori possono convertire istantaneamente gli IOC in query di caccia personalizzate, creare codice di rilevamento da rapporti di minacce grezze, generare diagrammi di Attack Flow, abilitare la previsione dei tag ATT&CK, sfruttare l’ottimizzazione delle query guidata dall’IA e tradurre il contenuto di rilevamento su più piattaforme.
Analisi di CVE-2025-62215
L’11 novembre 2025, l’ultimo aggiornamento di Patch Tuesday di Microsoft ha risolto 63 vulnerabilità, inclusa una zero-day che è già sfruttata in natura. CVE-2025-62215, con un punteggio CVSS di 7.0, è una vulnerabilità di escalation dei privilegi nel Kernel di Windows causata da una race condition che consente agli attaccanti di manipolare la memoria del sistema e potenzialmente prendere il controllo del dispositivo interessato. addressed 63 vulnerabilities, including a zero-day that is already being exploited in the wild. CVE-2025-62215, with a CVSS score of 7.0, is a privilege escalation vulnerability in the Windows Kernel caused by a race condition that allows attackers to manipulate system memory and potentially take control of the affected device.
Gli ingegneri della sicurezza affermano che l’exploit è concettualmente semplice: un attaccante che ha già accesso locale con privilegi bassi può eseguire un programma appositamente creato che tenta ripetutamente di provocare l’errore di sincronizzazione. In particolare, l’attacco forza più thread a toccare la stessa risorsa del kernel senza una corretta sincronizzazione, confondendo la gestione della memoria del kernel in modo da liberare due volte lo stesso blocco. Questo “double free” corrompe lo heap del kernel e offre all’attaccante un percorso per sovrascrivere la memoria e prendere il controllo del flusso di esecuzione.
Sebbene l’intera portata dello sfruttamento nel mondo reale non sia ancora chiara, gli esperti credono che CVE-2025-62215 sia impiegato principalmente dopo un’iniziale compromissione (tramite phishing, RCE o escape di sandbox) per elevare i privilegi, raccogliere credenziali, e muoversi lateralmente. Collegata ad altri bug, questa falla può trasformare una lieve breccia in una presa di controllo completa del sistema, quindi il patching tempestivo e le difese stratificate restano cruciali. Gli utenti sono invitati a patchare immediatamente le loro istanze seguendo il avviso.
dedicato di Microsoft. Gli esperti di Ivanti sottolineano che la CVE-2025-62215 riguarda tutte le edizioni Windows OS attualmente supportate, così come gli Aggiornamenti di Sicurezza Estesi (ESU) di Windows 10. Ciò evidenzia che eseguire Windows 10 oltre la sua fine del ciclo di vita senza la copertura ESU comporta un rischio reale.
Microsoft ha anche rilasciato un aggiornamento fuori banda per i dispositivi consumer non iscritti al programma ESU. Questo aggiornamento risolve un problema che potrebbe impedire il completamento con successo della procedura guidata di iscrizione all’ESU, garantendo agli utenti di mantenere la copertura di sicurezza anche sui sistemi Windows 10 più vecchi.
La crescente frequenza e l’impatto dello sfruttamento delle vulnerabilità sottolineano la necessità di misure di sicurezza proattive e di adesione alle migliori pratiche di cyber sicurezza per potenziare le difese di un’organizzazione. La suite completa di prodotti SOC Prime, supportata da AI, capacità automatizzate e CTI in tempo reale, serve come soluzione a prova di futuro per aiutare le organizzazioni a superare le minacce informatiche che anticipano di più.
