Microsoft risolve 157 CVE, inclusi tre zero-day attivamente sfruttati

Microsoft ha inaugurato il 2025 con il più grande aggiornamento di Patch Tuesday mai realizzato, risolvendo 157 CVE, di cui dieci classificati come critici. Le vulnerabilità riguardano diversi prodotti Microsoft, con alcune che consentono l'esecuzione remota di codice, come CVE-2025-21309, valutata con un punteggio CVSS di 8.1 e classificata come "Exploitation More Likely."
Tre vulnerabilità zero-day (CVE-2025-21333, CVE-2025-21334 e CVE-2025-21335) sono sotto attacco attivo. Queste falle di elevazione dei privilegi interessano Windows Hyper-V NT Kernel Integration Virtualisation Service Provider (VSP) e hanno un punteggio CVSS di 7.8. Secondo Microsoft, consentono ad attaccanti locali autenticati di ottenere privilegi di SYSTEM.
I ricercatori evidenziano che queste vulnerabilità sono spesso parte di attività post-compromissione. Le organizzazioni sono invitate a dare priorità alle patch per mitigare i rischi.

Attori delle minacce sfruttano FastHTTP per attacchi brute-force su Microsoft 365

Gli attori delle minacce stanno utilizzando la libreria FastHTTP di Go per condurre attacchi brute-force ad alta velocità contro account Microsoft 365, secondo i ricercatori di sicurezza. La campagna, iniziata il 6 gennaio 2025, mira agli endpoint Azure Active Directory Graph API, con un tasso di successo del 9,7%.
FastHTTP, una libreria HTTP ad alte prestazioni, viene utilizzata per automatizzare tentativi di accesso non autorizzati e attacchi MFA Fatigue. La maggior parte del traffico malevolo proviene dal Brasile, con attività significative in Turchia, Argentina e altre regioni.
I ricercatori riportano che il 41,5% degli attacchi fallisce, mentre il 21% attiva blocchi di account e il 17,7% viene bloccato per violazioni di politiche di accesso. Le organizzazioni possono rilevare questi attacchi verificando la presenza dello user agent FastHTTP nei registri di audit di Azure.

L’UE svela un piano d’azione per la cyber security degli ospedali

L’Unione Europea ha lanciato un nuovo piano d’azione per rafforzare la difesa degli ospedali contro gli attacchi informatici. Presentato dalla Commissione Europea, il piano risponde a un aumento degli attacchi iniziati con la pandemia di COVID-19 e che hanno colpito sistemi sanitari in Irlanda, Francia, Regno Unito, Finlandia e altrove.
Nel solo 2023, i governi nazionali hanno segnalato 309 incidenti significativi nel settore sanitario, il numero più alto tra le industrie critiche. Il piano prevede l’istituzione di un Centro Europeo di Supporto alla Cybersecurity presso ENISA, l’agenzia europea per la sicurezza informatica, che offrirà sistemi di allerta precoce, valutazioni delle vulnerabilità e supporto per la risposta agli incidenti.
Il piano include anche un servizio di risposta rapida per il settore sanitario e “voucher per la cyber security” per aiutare i piccoli ospedali a migliorare la resilienza. Consultazioni su finanziamenti e implementazione inizieranno entro l’anno.

Hacker nordcoreani rubano 659 milioni di dollari in criptovalute

Hacker sponsorizzati dallo Stato nordcoreano hanno rubato oltre 659 milioni di dollari in criptovalute tramite molteplici furti, secondo una dichiarazione congiunta di Stati Uniti, Corea del Sud e Giappone. I gruppi continuano a colpire aziende del settore blockchain utilizzando malware come TraderTraitor e AppleJeus tramite sofisticati attacchi di ingegneria sociale.
La dichiarazione conferma il coinvolgimento della Corea del Nord nella violazione di WazirX nel luglio 2024, che ha causato una perdita di 235 milioni di dollari, oltre ad altri furti significativi come 308 milioni da DMM Bitcoin. Chainalysis riporta un record di 1,34 miliardi di dollari rubati nel 2024, raddoppiando il totale dell’anno precedente.
Gli hacker sfruttano anche schemi di lavoro remoto IT, impersonando personale basato negli Stati Uniti con identità rubate e strumenti di intelligenza artificiale. Le autorità invitano le organizzazioni a migliorare i processi di verifica per mitigare i rischi legati alle minacce nordcoreane.

La cyber security al primo posto tra le preoccupazioni dei leader IT

La cyber security è stata identificata come la principale preoccupazione tra i leader IT, superando l’intelligenza artificiale, secondo BCS, l’Istituto di IT del Regno Unito. Nel sondaggio annuale, il 36% degli intervistati ha indicato la sicurezza informatica come la questione più importante, mentre AI e automazione si sono classificate al secondo e terzo posto.
Il sondaggio ha rivelato che solo il 5% dei professionisti IT ritiene che le proprie organizzazioni abbiano risorse sufficienti per affrontare le priorità del 2025, con il 63% che chiede un miglioramento delle competenze IT nella forza lavoro.
Steve Sands, presidente del gruppo di sicurezza informatica di BCS, ha sottolineato che le preoccupazioni sulla cyber security derivano dall’aumento degli attacchi sponsorizzati da Stati e dall’uso crescente di AI da parte di hacker meno qualificati. Questi problemi si allineano con la consultazione del governo del Regno Unito sul divieto di pagamenti di ransomware e il Cyber Security and Resilience Bill.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.