Nel Patch Tuesday di dicembre 2025 Microsoft chiude 56 vulnerabilità di cui tre zero-day.
Autore: Redazione SecurityOpenLab
Nell’ultimo appuntamento dell’anno con il Patch Tuesday, Microsoft ha chiuso 56 vulnerabilità, di cui una attivamente sfruttata e due zero-day divulgate pubblicamente. 28 delle falle segnalate portano all’escalation dei privilegi, 19 aprono all’esecuzione di code da remoto, 4 alla divulgazione di informazioni. Come sempre, esaminiamo più approfonditamente le criticità maggiori.
Il Patch Tuesday di questo mese presenta 53 vulnerabilità indicate come Importanti e solo 3 come Critiche. La vulnerabilità zero-day attivamente sfruttata è quella monitorata con la sigla CVE-2025-62221 e riguarda il driver Windows Cloud Files Mini Filter. Le è stato assegnato un punteggio CVSS di 7.8 ed è classificata come Importante proprio per lo sfruttamento in corso. Si tratta di una falla di escalation dei privilegi; il punteggio relativamente basso è dovuto al fatto che l’attaccante, per poterla sfruttare, deve essere in locale e autenticato. Tenable fa notare che Microsoft ha corretto altre due vulnerabilità della stessa categoria nel driver Windows Cloud Files Mini Filter: la CVE-2025-62454 e la CVE-2025-62457. Entrambe hanno i medesimi punteggio e classificazione. L‘unica differenza è che la CVE-2025-62454 è stata valutata come "Exploitation More Likely", al contrario della CVE-2025-62457 che è ritenuta a basso rischio di sfruttamento.
Passiamo alle vulnerabilità zero-day divulgate pubblicamente. La prima è monitorata con la sigla CVE-2025-64671 ed è una falla RCE nel plugin GitHub Copilot per gli ambienti di sviluppo integrati (IDE) JetBrains. Le è stato assegnato un punteggio CVSS di 8.4 ed è classificata come Importante, anche se ritenuta a sfruttamento meno probabile. Il problema deriva da una vulnerabilità di command injection in GitHub Copilot, che un attaccante potrebbe sfruttare tramite un server MCP o file non attendibili. Qualora lo sfruttamento andasse buon fine, l’attaccante potrebbe aggiungere ed eseguire comandi a sua discrezione grazie all'impostazione di Approvazione automatica.
L’altra zero-day divulgata pubblicamente è monitorata con la sigla CVE-2025-54100. È una vulnerabilità RCE in Windows PowerShell a cui è stato assegnato un punteggio CVSS di 7.8 ed è classificata come Importante. La preoccupazione per questa falla riguarda il fatto che è stata divulgata pubblicamente prima che fosse resa disponibile una patch, ora diffusa. Microsoft ha apportato una modifica che visualizza un avviso quando PowerShell utilizza il comando Invoke-WebRequest, chiedendo all'utente di aggiungere il parametro -UseBasicParsingper impedire l'esecuzione di codice remoto.
Chiudiamo con due vulnerabilità Critiche. CVE-2025-62554 e CVE-2025-62557 sono falle RCE che riguardano Microsoft Office e che hanno ricevuto un punteggio CVSS di 8.4. Un attaccante potrebbe sfruttarle con un attacco di ingegneria sociale, per convincere un utente ad aprire un file dannoso di Microsoft Office. Lo sfruttamento riuscito garantirebbe all'attaccante i privilegi di esecuzione del codice.