Nell’appuntamento di luglio con il Patch Tusday Microsoft ha chiuso un totale di 137 vulnerabilità, compresa una Zero Day divulgata pubblicamente relativa a SQL Server. Le falle definite Critiche sono state quattordici, 10 delle quali consentono l’esecuzione di codice da remoto (RCE), mentre nel complesso le vulnerabilità di escalation dei privilegi sono state 53 e di fatto rappresentano il gruppo più numeroso.

Come sempre, andiamo per ordine e iniziamo con la Zero Day, monitorata con la sigla CVE-2025-49719. Ha un punteggio CVSS assegnato relativamente basso (7.5) perché Microsoft l’ha classificata come ‘ sfruttamento poco probabile’. Tuttavia, in caso un attaccante non autenticato riuscisse ad approfittarne potrebbe accedere ai dati dalla memoria non inizializzata. Il vendor caldeggia l’update agli utenti di SQL Server e a chiunque esegua applicazioni di un altro fornitore basate su SQL Server.

Ben più gravi sono altre vulnerabilità che rientrano in questo giro di patch. La prima è la CVE-2025-47981 a cui è assegnato un punteggio CVSS di 9.8 perché ritenuta a probabile sfruttamento. Riguarda il sistema di sicurezza SPNEGO Extended Negotiation (NEGOEX): un attaccante non autenticato, da remoto, potrebbe sfruttare questa falla inviando un messaggio ad hoc a un server vulnerabile, e in caso di successo potrebbe ottenere i privilegi per eseguire codice da remoto. La buona notizia è che gli unici sistemi interessati sono quelli con Windows 10 versione 1607 e successive, a causa di uno specifico oggetto Criteri di gruppo (GPO) abilitato per impostazione predefinita.

Sono altrettanto critiche le falle di SharePoint monitorate con le sigle CVE-2025-49701 e CVE-2025-49704 a cui è assegnato un punteggio CVSS di 8.8. Per sfruttarle, un attaccante dovrebbe essere autenticato con una utenza che ha diritto almeno ai privilegi di proprietario del sito. Soddisfatto questo requisito, il cyber criminale potrebbe scrivere codice arbitrario in un server SharePoint vulnerabile e ottenere l’esecuzione di codice da remoto.

Scendiamo a un punteggio CVSS di 8.1 (che è comunque critico) con la vulnerabilità CVE-2025-49735 di tipo RCE che interessa il servizio proxy Windows Kerberos Key Distribution Center (KDC). In questo caso un attaccante non autenticato può servirsi di un'applicazione predisposta ad hoc per ottenere l’esecuzione di codice non autorizzato. Nonostante fra i requisiti per il successo di sfruttamento figuri la vincita di una race condition, questa fatta è stata comunque valutata come a probabile sfruttamento.

Chiudiamo la rassegna con la CVE-2025-49724, una vulnerabilità RCE nel servizio Windows Connected Devices Platform a cui è associato un punteggio CVSS di 8.8. Per sfruttarla, un attaccante da remoto non autenticato deve inviare pacchetti di dati appositamente predisposti a un sistema in cui è attivata la funzione " Nearby Sharing ", che non è abilitata per impostazione predefinita.