Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urgenti al fine di risolvere tale falla.

La classificazione della vulnerabilità è high, secondo il punteggio base CVSS v3.1, pari a 7,8; inoltre, secondo l’avviso rilasciato da Microsoft, risulta che gli aggressori stanno sfruttando exploit funzionanti sulle macchine al fine di ottenere i privilegi di SYSTEM.

Un’ampia gamma di sistemi operativi Windows, dalle più recenti versioni di Windows 11, come la 25H2, e Windows Server 2025, fino a Windows 10 versione 1809, è interessata da questa vulnerabilità di escalation dei privilegi (PLE).

La vulnerabilità è descritta come una debolezza Use-After-Free all’interno del Cloud Files Mini Filter Driver, un componente del kernel responsabile della gestione dei “segnaposto” e della sincronizzazione per i servizi di archiviazione cloud come OneDrive.

A differenza delle falle di esecuzione di codice in modalità remota (RCE) questa vulnerabilità viene sfruttata come fase secondaria nelle catene di attacco, in cui gli avversari hanno già messo piede nel sistema e cercano di aumentare i propri privilegi per persistere o disabilitare i controlli di sicurezza.

La falla consente infatti ad un aggressore con privilegi bassi e autenticato localmente di innescare uno stato di danneggiamento della memoria, consentendogli successivamente di eseguire codice arbitrario con i privilegi di sistema più elevati.

Microsoft Threat Intelligence Center (MSTIC) e Microsoft Security Response Center (MSRC) hanno individuato il bug , sottolineando che, sebbene la complessità dell’attacco sia bassa e non richieda alcuna interazione da parte dell’utente, l’aggressore deve aver stabilito l’accesso locale al computer di destinazione.

Gli amministratori dovrebbero dare priorità all’applicazione immediata di patch a questi sistemi, dato lo stato di sfruttamento attivo confermato.

L'articolo Microsoft rilascia aggiornamenti urgenti per un bug zero-day di PLE sfruttato in Windows proviene da Red Hot Cyber.