Microsoft Windows CVE-2025-9491: attacchi “in-the-wild” su file shortcut LNK, escalation privilegi e persistence. Nessun fix da Microsoft, allerta CERT globale
Da fine ottobre e inizio novembre 2025 sono stati confermati attacchi massivi contro sistemi Windows (tutte le versioni supportate e non) che sfruttano la vulnerabilità CVE-2025-9491 (“Windows Shortcut binary format logic flaw”). Il bug, conosciuto dal 2017 ma reso pubblico solo da Trend Micro nel marzo scorso, consente ad attori avanzati e APT di compromettere host con semplici file shortcut (*.lnk), veicolati tramite phishing, file sharing, archive millefoglie e download.
La vulnerabilità permette la persistenza post-exploit: il file shortcut LNK manipolato genera processi figli arbitrari e può installare loader, malware o ransomware con privilegi elevati, anche bypassando UAC.
Secondo gli analisti, almeno 11 gruppi APT hanno weaponizzato l’exploit (“ZDIAN-73”, ora CVE-2025-9491) contro target governativi, aziende, giornalisti e infrastrutture critiche su scala globale. Il bug resta non patchato: Microsoft non ha ancora rilasciato una correzione definitiva.
Parallelamente, altre zero-day sono state sfruttate in ottobre:
- CVE-2025-59230 (RasMan service): privilege escalation in Remote Access Connection Manager
- CVE-2025-24990 (Agere modem driver): escalation di privilegi tramite driver legacy installato di default
- CVE-2025-59287 (WSUS, vedi risposta precedente): RCE non autenticato via deserializzazione SOAP/AuthorizationCookie
Impatto e rischio:
- Compromissione persistente, esecuzione di malware, escalation privilegi
- Rischio supply chain, infezioni ransomware, data theft
- Exploit triviali: LNK, driver legacy, servizi minimamente protetti (Rasman)
- Nessuna patch disponibile a novembre per CVE-2025-9491; workstation/server possono essere colpiti
Mitigazioni consigliate:
- Disabilitare l’apertura automatica di file LNK scaricati o ricevuti via mail/file sharing
- Monitorare l’avvio di processi figli sospetti da shortcut (log Windows, SIEM)
- Segmentare workstation/server dall’exposizione a asset non gestiti
- Applicare regole di mail gateway/bloccare allegati LNK dove possibile
- Aggiornare altri sistemi Microsoft alle patch di ottobre 2025 (inclusi fix per CVE-2025-59230, CVE-2025-24990 e CVE-2025-59287)
- Seguire i bollettini CERT e Microsoft in attesa patch ufficiali