Una scoperta che riguarda da vicino chiunque utilizzi l'infrastruttura Microsoft, soprattutto in ambito aziendale, sta allarmando gli ambienti ITC. Si tratta di una nuova falla di sicurezza che colpisce i Servizi di Desktop Remoto di Windows, una tecnologia ampiamente utilizzata per la gestione da remoto di sistemi e server.
Questa volta la questione è seria: la vulnerabilità più grave è stata registrata con il codice CVE-2025-27480, una classica Use After Free, ovvero un errore nella gestione della memoria che può portare a esecuzione di codice arbitrario da remoto e senza autenticazione dell’utente. Tradotto: un attaccante potrebbe eseguire del codice malevolo su un sistema Windows esposto, senza bisogno di credenziali né di alcuna interazione da parte dell’utente. Questo tipo di attacco apre le porte a scenari molto critici.
perché è grave?
Il punteggio assegnato alla CVE-2025-27480 nel sistema CVSS è 8.1, che ci mette subito in allerta: siamo nel territorio dell’alta gravità. La vulnerabilità risiede nel componente Remote Desktop Gateway, un ruolo spesso presente nelle reti aziendali per permettere connessioni sicure all'interno della LAN.
Il problema nasce quando il Gateway gestisce in maniera errata gli oggetti in memoria: si libera un oggetto, ma il sistema lo continua a “pensare vivo”. Questo crea la cosiddetta condizione di “use-after-free”, che può essere manipolata da un attaccante per inserire ed eseguire codice a proprio piacimento. Microsoft ha dichiarato che, pur essendoci una race condition a complicare un po’ le cose, l’attacco non richiede privilegi né la minima interazione da parte dell’utente. Un mix pericolosissimo.
Una seconda vulnerabilità (ma meno critica)
Non finisce qui. Nella stessa tornata di aggiornamenti di aprile, Microsoft ha segnalato anche una seconda vulnerabilità, CVE-2025-27487, questa volta nel client Desktop Remoto. Qui parliamo di un heap buffer overflow, anch’esso molto pericoloso: se un utente si connette a un server RDP maligno, quest’ultimo potrebbe eseguire codice direttamente sulla macchina client. Il punteggio CVSS è 8.0, solo un decimo sotto rispetto alla prima.
Tuttavia, c'è una differenza sostanziale: per questa vulnerabilità serve l’interazione dell’utente, cioè qualcuno deve effettivamente collegarsi a un server malevolo. Inoltre, sono richiesti privilegi bassi, quindi non parliamo di un attacco “senza ostacoli”, ma comunque di uno scenario plausibile, soprattutto in contesti meno controllati.
Microsoft corre ai ripari… quasi ovunque
Come spesso accade, Redmond si è mossa rilasciando patch ufficiali per la maggior parte delle versioni supportate di Windows, nell’ambito del Patch Tuesday di aprile. Ma attenzione: alcune versioni di Windows 10 non sono ancora coperte. Microsoft ha dichiarato che i fix saranno rilasciati “il prima possibile”, ma nel frattempo bisogna prestare massima attenzione e, dove possibile, implementare misure temporanee di mitigazione (isolamento del Gateway, monitoraggio traffico RDP, controllo accessi più stringente).
Queste vulnerabilità, soprattutto la prima, ci ricordano quanto siano cruciali i sistemi di Desktop Remoto nella catena di sicurezza aziendale. Troppo spesso sottovalutati o lasciati esposti “per comodità”, questi servizi diventano il tallone d’Achille delle infrastrutture.
Non basta avere un firewall o un antivirus aggiornato: serve un approccio proattivo, fatto di segmentazione della rete, analisi dei log, autenticazione a più fattori e — non mi stancherò mai di dirlo — patching costante e tempestivo.
Se gestite ambienti Windows con ruoli di Desktop Remoto esposti su internet o anche solo internamente in ambienti critici, questo è il momento giusto per sedersi, fare un check serio e rimettere mano alle policy di sicurezza. Le vulnerabilità cambiano, ma la postura difensiva resta l’unico vero scudo.
Checklist tecnica: Sicurezza Desktop Remoto – CVE-2025-27480 e CVE-2025-27487
1. Verifica dei Sistemi Esposti
[ ] Identifica tutti i server che utilizzano il ruolo Remote Desktop Gateway (RD Gateway).
[ ] Mappa tutte le macchine client con client RDP attivi, in particolare se usati su reti pubbliche o VPN.
[ ] Verifica l’esposizione delle porte RDP (TCP/3389) verso internet e isola ove possibile.
2. Controllo e Applicazione delle Patch
[ ] Verifica la presenza degli aggiornamenti di sicurezza di aprile 2025 su ogni sistema.
[ ] Se utilizzi Windows 10, controlla manualmente se la tua versione ha già ricevuto la patch.
[ ] Applica le patch ufficiali di Microsoft non appena disponibili, anche tramite WSUS o strumenti di MDM.
3. Hardening e Mitigazioni Temporanee
[ ] Implementa un sistema di accesso con autenticazione a più fattori (MFA) per tutti i servizi RDP.
[ ] Abilita l’NLA (Network Level Authentication) per evitare connessioni RDP non autorizzate.
[ ] Configura i firewall per limitare gli accessi RDP solo da IP approvati.
[ ] Valuta l’uso di VPN interne come unico punto di ingresso per accedere al Remote Desktop Gateway.
4. Monitoraggio e Logging
[ ] Attiva i log avanzati per il ruolo RD Gateway e il client RDP.
[ ] Monitora tentativi di connessione sospetti, accessi ripetuti o anomali da IP non autorizzati.
[ ] Imposta alert su attività sospette, come connessioni fuori orario o da località geografiche insolite.
5. Formazione e Consapevolezza
[ ] Informa gli utenti sull’importanza di collegarsi solo a server RDP affidabili.
[ ] Disabilita l’uso del client RDP per connessioni esterne non necessarie.
[ ] Fornisci indicazioni su come riconoscere server RDP fraudolenti o link sospetti.
6. Backup e Contingency Plan
[ ] Verifica la presenza di backup aggiornati per tutti i server critici.
[ ] Testa i piani di ripristino per garantire continuità operativa in caso di compromissione.
[ ] Crea snapsh
ot regolari delle VM che ospitano il ruolo RD Gateway.
