Iscriviti ora al Webinar di presentazione del corso Ethical Hacker! Scopri di più
Iscriviti ora al Webinar di presentazione del corso CISO! Scopri di più
Allarme Sicurezza Microsoft: Nuovi Aggiornamenti Critici sventano attacchi su Bing e Power Pages!
- Redazione
- News
- Visite: 2586
Recentemente, Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere due vulnerabilità classificate come critiche, che interessano Bing e Power Pages. Tra queste, una è già stata sfruttata attivamente. Le vulnerabilità sono identificate come CVE-2025-21355 e CVE-2025-24989.
CVE-2025-21355
CVE-2025-21355, con un punteggio CVSS di 8.6, è una vulnerabilità di esecuzione di codice remoto che interessa Microsoft Bing. Questa falla permette a un attaccante non autorizzato di eseguire codice tramite una rete, a causa della mancanza di autenticazione per una funzione critica.
CVE-2025-24989
La seconda vulnerabilità, CVE-2025-24989, con un punteggio CVSS di 8.2, riguarda Microsoft Power Pages. Questo è un servizio di basso codice per creare e gestire siti web aziendali sicuri. La vulnerabilità consente a un attaccante non autorizzato di elevare i privilegi e bypassare i controlli di registrazione utente.
Microsoft ha riconosciuto il suo dipendente Raj Kumar per aver segnalato questa vulnerabilità. La società ha etichettato CVE-2025-24989 con una valutazione di "Exploitation Detected", indicando che almeno un caso di sfruttamento è stato rilevato.
Nonostante l'avviso non fornisca dettagli specifici sulla natura o l'estensione degli attacchi, Microsoft ha dichiarato che la vulnerabilità è stata già mitigata nel servizio e che tutti i clienti interessati sono stati avvisati. Gli aggiornamenti hanno risolto il problema del bypass della registrazione, e ai clienti interessati sono state fornite istruzioni per controllare i loro siti e attuare eventuali misure di pulizia necessarie.
Parallelamente, il 21 febbraio 2025, l'Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) ha aggiunto CVE-2025-24989 al suo catalogo delle vulnerabilità note sfruttate (KEV), richiedendo alle agenzie federali di applicare le correzioni necessarie entro il 14 marzo 2025.
Un portavoce di Microsoft ha confermato che è stata rilasciata una correzione e che i clienti sono protetti. Questo aggiornamento sottolinea l'importanza di mantenere aggiornati i sistemi per proteggersi da potenziali minacce.
