Vulnerabilità zero-day Windows furto credenziali NTLM

Una nuova vulnerabilità zero-day ha scosso il mondo della sicurezza informatica, rivelando come un semplice file dannoso possa compromettere le credenziali NTLM degli utenti Windows senza che questi debbano nemmeno aprirlo. Questa falla di sicurezza rappresenta un esempio preoccupante di come funzionalità apparentemente innocue possano trasformarsi in pericolosi vettori di attacco.

Cos’è la vulnerabilità zero-day di Windows

La vulnerabilità recentemente scoperta sfrutta una debolezza nel modo in cui Windows gestisce l’anteprima dei file attraverso Esplora File. Il problema interessa praticamente tutte le versioni moderne del sistema operativo Microsoft, da Windows 7 e Server 2008 R2 fino alle più recenti Windows 11 (versione 24H2) e Server 2022.

Il meccanismo d’attacco è insidiosamente semplice:

• Un attaccante crea un file dannoso appositamente progettato
• L’utente naviga in una cartella contenente questo file usando Esplora File
• Durante la generazione dell’anteprima, si attiva automaticamente una richiesta remota
• Gli hash delle credenziali NTLM vengono trasmessi all’attaccante

La particolarità più preoccupante di questa vulnerabilità è che non richiede alcuna azione attiva da parte dell’utente. È sufficiente visualizzare il contenuto di una cartella per innescare il processo di furto delle credenziali.

Come funziona il furto di credenziali NTLM

Il protocollo NTLM (NT LAN Manager) è un sistema di autenticazione utilizzato da Windows per verificare l’identità degli utenti in rete. Quando viene sfruttata questa vulnerabilità, il sistema invia automaticamente gli hash NTLM dell’utente corrente a un server remoto controllato dall’attaccante.

Gli hash NTLM catturati possono essere utilizzati in diversi modi:

1. Attacchi di decrittografia: Gli hash possono essere sottoposti a tecniche di cracking per ottenere le password in chiaro
2. Pass-the-hash: Gli hash possono essere riutilizzati direttamente per autenticarsi su altri sistemi senza conoscere la password originale
3. Relay attacks: Le credenziali possono essere “rilanciate” verso altri servizi per ottenere accesso non autorizzato

Questo tipo di attacco è particolarmente pericoloso in ambienti aziendali dove gli utenti spesso condividono file tramite cartelle di rete o dispositivi USB.

La risposta di Microsoft e le mitigazioni implementate

Microsoft ha reagito rapidamente a questa minaccia implementando una soluzione di mitigazione negli aggiornamenti di sicurezza di ottobre 2025. La strategia adottata consiste nel disabilitare l’anteprima dei file scaricati da Internet direttamente in Esplora File.

La mitigazione funziona attraverso il sistema “Mark of the Web” (MOTW), che contrassegna automaticamente i file provenienti da fonti esterne come Internet. Quando Esplora File rileva questo contrassegno, l’anteprima viene disabilitata prevenendo l’attivazione della vulnerabilità.

Limitazioni della correzione

È importante notare alcune limitazioni nella copertura della patch:

• Windows 10 escluso: Essendo fuori supporto mainstream, Windows 10 non riceve questa correzione
• File locali non protetti: La mitigazione si applica solo ai file marcati come provenienti da Internet
• Possibili bypass: Attaccanti sofisticati potrebbero trovare modi per rimuovere il MOTW dai file dannosi

Implicazioni per la sicurezza aziendale

Questa vulnerabilità evidenzia diversi aspetti critici della sicurezza informatica moderna. In primo luogo, dimostra come funzionalità apparentemente innocue possano nascondere rischi significativi. L’anteprima dei file è una caratteristica che gli utenti danno per scontata, ma che può diventare un punto di ingresso per gli attaccanti.

Per le aziende, questa situazione sottolinea l’importanza di:

1. Gestione proattiva delle patch: Applicare tempestivamente gli aggiornamenti di sicurezza
2. Monitoraggio del traffico di rete: Rilevare tentativi di exfiltrazione delle credenziali NTLM
3. Formazione degli utenti: Sensibilizzare il personale sui rischi legati ai file di origine sconosciuta
4. Segmentazione della rete: Limitare l’impatto di eventuali compromissioni

Strategie di protezione e best practice

Oltre all’applicazione delle patch Microsoft, esistono diverse misure aggiuntive che organizzazioni e utenti possono implementare per proteggersi:

Misure tecniche

• Disabilitazione del protocollo NTLM: Dove possibile, migrare verso protocolli più sicuri come Kerberos
• Configurazione firewall: Bloccare connessioni SMB non autorizzate verso l’esterno
• Monitoraggio delle autenticazioni: Implementare sistemi di rilevamento per identificare tentativi sospetti
• Sandboxing: Utilizzare ambienti isolati per l’apertura di file da fonti non fidate

Procedure organizzative

Le aziende dovrebbero anche considerare l’implementazione di procedure specifiche per gestire file da fonti esterne, incluse policy per la gestione di dispositivi USB e download da Internet.

Questa vulnerabilità zero-day rappresenta un promemoria importante di come la superficie di attacco in ambiente Windows possa estendersi a componenti apparentemente innocui del sistema operativo. La rapidità della risposta di Microsoft dimostra l’importanza di mantenere sistemi aggiornati e di implementare strategie di sicurezza a più livelli per proteggere le credenziali degli utenti e l’integrità delle reti aziendali.