Microsoft corregge sei vulnerabilità zero-day nell’aggiornamento di marzo 2025

Il Patch Tuesday di marzo 2025 di Microsoft introduce 57 correzioni di sicurezza, tra cui sei vulnerabilità zero-day attivamente sfruttate. Sei falle sono classificate come critiche, tutte in grado di consentire l'esecuzione di codice da remoto.

Tra le zero-day, alcune sono collegate al file system NTFS, sfruttate tramite file VHD o dispositivi USB malevoli. Una delle più gravi, CVE-2025-24983, consente l’escalation dei privilegi a SYSTEM tramite una race condition nel sottosistema Win32 Kernel. Un’altra, CVE-2025-24985, coinvolge l’esecuzione di codice da remoto attraverso un overflow intero nel driver FAT.

Microsoft ha inoltre corretto CVE-2025-26630, una vulnerabilità di esecuzione remota in Microsoft Access, scoperta da Unpatched.ai.

Anche fornitori come Broadcom, Cisco, Google, Fortinet e SAP hanno rilasciato aggiornamenti a marzo. Gli utenti e i team IT sono fortemente invitati ad applicare subito le patch per ridurre il rischio.

La Svizzera introdurrà l’obbligo di segnalare incidenti informatici per le infrastrutture critiche da aprile 2025

Dal 1° aprile 2025, i gestori di infrastrutture critiche in Svizzera – tra cui fornitori di energia, acqua, trasporti e amministrazioni locali – saranno legalmente obbligati a segnalare attacchi informatici entro 24 ore al Centro nazionale per la cibersicurezza (NCSC).

L’obbligo, annunciato dal Consiglio federale il 7 marzo, fa parte di una modifica della Legge sulla sicurezza delle informazioni (LSI) e si applica agli incidenti che minacciano il funzionamento, comportano fughe o manipolazione di dati, o includono estorsioni.

Le organizzazioni dovranno inviare una prima segnalazione entro 24 ore e una completa entro 14 giorni, tramite il Cyber Security Hub del NCSC o via email.

Il mancato rispetto può comportare sanzioni, anche se l’importo non è stato specificato. È previsto un periodo di tolleranza fino al 1° ottobre 2025. La Svizzera si allinea così a Paesi come Stati Uniti, Regno Unito, UE, Giappone e Australia.

Meta avverte di possibili attacchi attivi che sfruttano una vulnerabilità di FreeType

Meta ha segnalato una grave vulnerabilità (CVE-2025-27363) nella libreria di rendering dei font FreeType, che potrebbe essere stata sfruttata attivamente.

La falla, con punteggio CVSS 8.1, è una vulnerabilità di scrittura fuori limite che può consentire l’esecuzione di codice da remoto durante il parsing di font TrueType GX o variabili.

Il problema deriva da un errore nella gestione dei valori signed e unsigned, portando a un buffer troppo piccolo e a scritture fuori limite.

Sebbene Meta non abbia fornito dettagli sull’exploit, lo sviluppatore di FreeType Werner Lemberg ha confermato che la vulnerabilità è stata corretta nelle versioni successive alla 2.13.0.

Tuttavia, molte distribuzioni Linux – come Ubuntu 22.04, RHEL 8/9 e Debian – utilizzano ancora versioni vulnerabili. Gli utenti dovrebbero aggiornare a FreeType 2.13.3 il prima possibile.

Allarme per l’exploit di massa della vulnerabilità PHP CVE-2024-4577, avvertono i ricercatori

I ricercatori di threat intelligence segnalano lo sfruttamento su larga scala della vulnerabilità critica CVE-2024-4577 di PHP, che consente l’esecuzione di codice da remoto su sistemi Windows con PHP in modalità CGI.

La falla, corretta a giugno 2024, continua a essere attivamente sfruttata in tutto il mondo. Gli attacchi permettono a malintenzionati non autenticati di compromettere completamente i sistemi.

Secondo un report di Cisco Talos, la vulnerabilità è stata utilizzata contro organizzazioni giapponesi da gennaio 2025, con obiettivi che vanno oltre il furto di credenziali: persistenza, escalation di privilegi e uso di plugin Cobalt Strike TaoWu.

A gennaio, i ricercatori hanno osservato 1.089 IP unici sfruttare la falla, con il 43% da Germania e Cina. L’exploit si è poi diffuso globalmente.

Gli amministratori sono invitati a patchare immediatamente, poiché almeno 79 strumenti di exploit sono disponibili pubblicamente e alcuni gruppi ransomware l’hanno già integrata nelle loro campagne.

La FCC statunitense crea un consiglio di sicurezza nazionale contro le minacce informatiche cinesi

La Federal Communications Commission (FCC) degli Stati Uniti ha istituito un consiglio di sicurezza nazionale per rafforzare la difesa contro le minacce informatiche cinesi e mantenere il vantaggio su tecnologie critiche come AI, 5G/6G, satelliti e quantum computing.

Il nuovo presidente della FCC, Brendan Carr, ha annunciato l’iniziativa il 7 marzo, parlando di una “minaccia persistente da parte di avversari stranieri, in particolare del Partito Comunista Cinese”.

Il consiglio, guidato da Adam Chan, ex consigliere della commissione Cina della Camera dei Rappresentanti, coordinerà le risorse della FCC per affrontare attacchi informatici, spionaggio e dipendenze nella supply chain.

Uno degli obiettivi iniziali sarà Salt Typhoon, una campagna cinese che ha preso di mira le reti di telecomunicazioni statunitensi.

La FCC si unisce così ad agenzie come CIA, Dipartimento di Stato e Dipartimento del Commercio in un approccio coordinato alle minacce cinesi. Gli esperti affermano che il consiglio segna un cambio strategico, passando da azioni contro singole entità a una mitigazione del rischio settoriale in ambiti come cloud, droni e dispositivi IoT.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.