Microsoft Patch Tuesday giugno 2025 risolve uno zero day sfruttato e 66 vulnerabilità

Martedì 10 giugno 2025, Microsoft ha rilasciato l’aggiornamento Patch Tuesday per giugno 2025, correggendo 66 vulnerabilità. Tra queste, una zero‑day attivamente sfruttata, nove vulnerabilità critiche e altre 56 di gravità variabile.

Numero di vulnerabilità per categoria:

• 13 escalation di privilegi
• 3 bypass di sicurezza
• 25 esecuzioni remote di codice
• 17 divulgazioni non autorizzate di informazioni
• 6 Denial of Service
• 2 spoofing

Windows ha ricevuto 44 patch, ESU 24 e Microsoft Office 18. Questo conteggio esclude patch già rilasciate in precedenza per Mariner, Microsoft Edge e Power Automate.

Due zero‑day descritte nei dettagli:

1. Zero‑day attivamente sfruttata – CVE‑2025‑33053 (punteggio 8,2, High)
   Una vulnerabilità con RCE in WebDAV. L’attacco richiede che l’utente apra un file .url appositamente craftato. La famosa APT Stealth Falcon ha usato questo exploit contro un ente di difesa turco. La falla è stata inserita nel catalogo CISA delle vulnerabilità sfruttate.
2. Zero‑day resa pubblica – CVE‑2025‑33073 (punteggio 8,8, High)
   Un bug di escalation di privilegi nel client SMB di Windows. Un attaccante può costringere la macchina vittima a autenticarsi via SMB su un server controllato, ottenendo privilegi elevati. La falla è nota ma non ancora sfruttata attivamente. Mitigazione temporanea: abilitare SMB‑signing lato server via Group Policy.

È disponibile un aggiornamento. La lista completa delle vulnerabilità, con le note di rilascio, è consultabile nella Micros.oft Security Update Guide – giugno 2025: https://msrc.microsoft.com/update-guide/releaseNote/2025-jun 

Il gruppo FIN6 si finge candidato per compromettere i dispositivi dei recruiter

FIN6, noto anche come “Skeleton Spider”, è un gruppo APT specializzato in frodi finanziarie. Nella sua ultima campagna, il gruppo si finge candidato su piattaforme come LinkedIn e Indeed per infettare i dispositivi dei recruiter con il malware More Eggs, distribuito tramite curriculum falsi e siti di phishing.

Secondo un report di DomainTools, FIN6 utilizza tecniche di social engineering che fanno leva sulla fiducia professionale. L’interazione inizia su LinkedIn e Indeed, dove i membri del gruppo si presentano come candidati motivati. Seguono messaggi di phishing che portano all’infezione da malware. I CV o le email non contengono link cliccabili, consentendo di eludere i filtri di sicurezza aziendali. I recruiter sono così indotti a digitare manualmente l’URL, che li reindirizza a una pagina che imita un portfolio personale.

Gli URL usati in questa campagna seguono il formato NomeCognome.com (es. johnsmith[.]com) e imitano perfettamente un candidato reale, con foto e nome. Le landing page utilizzano filtri di traffico e CAPTCHA per colpire solo i recruiter umani. Una volta verificati, viene scaricato un archivio ZIP malevolo che consente esecuzione di comandi, furto di credenziali e distribuzione di ulteriori payload, spesso in memoria, evitando così il rilevamento.

Oltre 80.000 istanze di Roundcube vulnerabili a una falla attivamente sfruttata – CVE-2025-49113

Attori delle minacce hanno sfruttato una vulnerabilità critica di esecuzione remota di codice (RCE) in Roundcube, tracciata come CVE-2025-49113 e con un punteggio di gravità pari a 9,9. L'exploit è avvenuto solo pochi giorni dopo il rilascio della patch, prendendo di mira oltre 80.000 server.

La vulnerabilità deriva da una mancata sanificazione del parametro $_GET['_from'] nella funzione di caricamento immagini usata per gestire le identità del mittente. Il bug è rimasto nascosto nel software per oltre dieci anni. Un attaccante può sfruttarlo per prendere il controllo del sistema colpito ed eseguire codice malevolo, mettendo a rischio utenti e organizzazioni.

L’avviso del NIST riporta:
«Roundcube Webmail prima della versione 1.5.10 e 1.6.x prima di 1.6.11 consente l’esecuzione remota di codice da parte di utenti autenticati, poiché il parametro _from non viene validato in program/actions/settings/upload.php, con conseguente deserializzazione di oggetti PHP.»

La vulnerabilità è stata risolta nelle versioni 1.6.11 e 1.5.10 LTS. È fortemente raccomandato che le organizzazioni applichino l’aggiornamento senza ritardi. Dato che non è ancora chiaro l'effettivo impatto delle campagne di attacco, è inoltre consigliato monitorare i sistemi interessati e verificare eventuali tentativi di brute-force.

Gravi vulnerabilità Fortinet ora attivamente sfruttate dal gruppo ransomware Qilin

Il gruppo ransomware Qilin, noto anche come “Phantom Mantis”, è stato osservato mentre sfruttava due vulnerabilità nei dispositivi FortiOS e FortiProxy per bypassare i meccanismi di autenticazione su sistemi non aggiornati. In passato, Qilin era stato associato alla compromissione di Synnovis nel Regno Unito, fornitore di servizi di test e diagnostica medica.

La società di threat intelligence PRODAFT ha rilevato che Qilin sfrutta due vulnerabilità critiche: la falla di scrittura fuori dai limiti CVE-2024-21762 e la vulnerabilità di bypass dell’autenticazione CVE-2024-55591, entrambe che interessano dispositivi FortiOS e FortiProxy con funzionalità SSL-VPN.

Secondo PRODAFT, tra maggio e giugno 2025, il gruppo ha preso di mira varie organizzazioni nei paesi di lingua spagnola. Tuttavia, nel loro rapporto si sottolinea che gli attacchi sembrano essere di natura opportunistica, senza un focus geografico o settoriale specifico.

Fortinet aveva già segnalato nel febbraio 2024 che CVE-2024-21762 veniva attivamente sfruttata. Nonostante i patch siano disponibili, molti dispositivi Fortinet risultano ancora vulnerabili.

Le vulnerabilità con chiavi hardcoded in Ivanti Workspace Control espongono credenziali SQL

Ivanti ha rilasciato tre aggiornamenti di sicurezza per correggere vulnerabilità critiche causate dall’utilizzo di chiavi hardcoded nella sua piattaforma Ivanti Workspace Control (IWC). La piattaforma IWC consente agli amministratori IT di gestire, distribuire e configurare le impostazioni di sistema e delle applicazioni per utenti Windows, in base a ruoli e policy aziendali.

Le tre vulnerabilità derivano da un errore nell’uso di chiavi codificate, che può portare a un’escalation di privilegi e alla compromissione del sistema.
Le falle CVE-2025-5353 e CVE-2025-22455, entrambe di alta gravità (score base: 8.8 e 7.2), sono descritte da NIST come vulnerabilità che consentono a un utente autenticato in locale di decifrare le credenziali SQL (CVE-2025-5353) e le password dell’ambiente (CVE-2025-22455) nelle versioni di IWC precedenti alla 10.19.10.0.

Il 10 giugno 2025 sono state rilasciate le patch, con invito urgente da parte di Ivanti a procedere all’aggiornamento immediato, poiché lo sfruttamento delle vulnerabilità può portare alla compromissione delle credenziali.
Attualmente non vi sono prove di attacchi attivi che sfruttino queste falle.
Ivanti ha inoltre annunciato che la piattaforma IWC sarà ritirata a dicembre 2026, invitando gli utenti a migrare al nuovo sistema User Workspace Manager.

Considerazioni finali

Se sei preoccupato per una delle minacce evidenziate in questo bollettino o se hai bisogno di supporto per definire le azioni più adeguate a proteggere la tua organizzazione dalle minacce più rilevanti, ti invitiamo a contattare il tuo account manager oppure a metterti in contatto con noi per scoprire come possiamo aiutarti a proteggere la tua azienda.

Disclaimer

Il Threat Intel Roundup è stato redatto da Integrity360 e rappresenta un riepilogo delle minacce rilevate alla data di pubblicazione. Non deve essere interpretato come consulenza legale, tecnica o professionale. Le raccomandazioni contenute devono essere valutate nel contesto specifico della tua organizzazione.
Integrity360 non assume posizioni politiche nelle informazioni condivise. Inoltre, le opinioni espresse non riflettono necessariamente la posizione ufficiale di Integrity360.