Mese della sensibilizzazione sulla sicurezza informatica: Mantieni il tuo software aggiornato

Uno dei temi ricorrenti del Mese della Sensibilizzazione sulla Sicurezza Informatica (CAM) è che il software deve essere mantenuto aggiornato. Sistemi operativi, applicazioni, firmware e utility sono tutti candidati per gli aggiornamenti, e applicare questi aggiornamenti in modo tempestivo è una delle difese più potenti che abbiamo. Le vulnerabilità vengono scoperte frequentemente, spesso attraverso programmi di bug bounty o test interni. Con diligenza e un po' di fortuna, possiamo colmare queste lacune di sicurezza prima che un hacker si insinui.

Zero-day e altre cose

Alcune vulnerabilità vengono scoperte solo dopo che attori delle minacce le hanno attaccate. Queste sono informalmente chiamate ‘zero-day’ perché il fornitore ha letteralmente zero giorni per correggere il difetto prima che venga sfruttato. Alla scoperta, le vulnerabilità e le istruzioni di mitigazione vengono divulgate pubblicamente e monitorate con identificatori unici e altri dati.

Non tutte le vulnerabilità software rappresentano lo stesso grado di rischio. Questo grafico mostra la gravità delle vulnerabilità pubblicate tra il 2001 e il 2022:

I fornitori di solito forniscono una patch di sicurezza o un'altra mitigazione il prima possibile quando viene trovata una vulnerabilità grave.

A volte un fornitore sceglie di rimuovere un pezzo di software piuttosto che rilasciare una patch. Microsoft ha affrontato sei vulnerabilità zero-day negli aggiornamenti Microsoft del 14 ottobre 2025, inclusa una che era stata inclusa nel sistema operativo fin da Windows Vista. Questa vulnerabilità è CVE-2025-24990 e deriva da un driver che supporta dati analogici e modem fax, che sono sistemi legacy raramente utilizzati oggi. Anziché correggere la vulnerabilità, Microsoft ha rilasciato un aggiornamento per rimuovere il driver. Gli utenti che si affidano al driver dovranno trovare un sostituto dopo aver installato l'aggiornamento del 14 ottobre.

Gli aggiornamenti hanno affrontato diversi altri zero-day che coinvolgono componenti del sistema operativo come il Remote Access Connection Manager (RasMan), i Windows Server Update Services (WSUS), i componenti di Entra ID e i servizi Bluetooth. I componenti del sistema operativo Microsoft sono sotto attenta osservazione, ma le vulnerabilità vengono ancora scoperte e sfruttate. Anche gli aggiornamenti più recenti non possono proteggerti da una vulnerabilità non ancora scoperta.

Eternamente blu

E poi ci sono quegli aggiornamenti che vengono rilasciati ma mai installati. Ci sono alcune ragioni principali per cui gli aggiornamenti di sicurezza non vengono installati:

• Paura dell'interruzione o del downtime: I team IT potrebbero temere che l'installazione degli aggiornamenti possa interrompere i sistemi e introdurre nuovi bug. Per questo motivo, alcune aziende aspetteranno di aver testato gli aggiornamenti su sistemi non di produzione. A volte gli utenti accetteranno semplicemente il rischio della vulnerabilità piuttosto che installare gli aggiornamenti.
• Consapevolezza limitata: Gli utenti non tecnici possono percepire gli aggiornamenti come opzionali o non importanti. Ignorano le notifiche di aggiornamento e presumono che il loro antivirus o firewall li proteggerà. Semplicemente non sanno quanto possano essere significativi questi aggiornamenti.
• Inconvenienti e sovraccarico amministrativo: Gli aggiornamenti possono richiedere tempo, necessitare di riavvii o richiedere privilegi amministrativi, tutti aspetti che gli utenti trovano scomodi. Alcuni sistemi non sono configurati per aggiornamenti automatici o gli aggiornamenti possono fallire se lo spazio su disco o altre risorse sono scarse. I team IT possono avere in atto un processo di approvazione delle patch faticoso. Questi problemi possono creare significative lacune di sicurezza in tutta la rete.

Questi sistemi non aggiornati possono creare enormi problemi. Questo è stato il caso nel 2017 quando la campagna ransomware ‘Wannacry’ ha utilizzato l'exploit ‘EternalBlue’ contro il protocollo SMB di Microsoft. Microsoft aveva rilasciato una correzione di sicurezza due mesi prima di questo attacco ransomware mondiale, ma centinaia di migliaia di macchine colpite rimasero non aggiornate. Nonostante la natura globale e di alto profilo dell'attacco, non c'era una soluzione semplice o una correzione rapida. Un articolo di SecureList ha descritto le conseguenze:

Il produttore di automobili Renault ha dovuto chiudere il suo più grande stabilimento in Francia e gli ospedali nel Regno Unito hanno dovuto rifiutare i pazienti. Anche il gigante dei trasporti tedesco Deutsche Bahn, la spagnola Telefonica, la società di distribuzione di energia elettrica del Bengala Occidentale, FedEx, Hitachi e il Ministero degli Interni russo sono stati colpiti. Un mese dopo che il focolaio iniziale era stato contenuto, WannaCry stava ancora mietendo vittime, tra cui Honda, che è stata costretta a chiudere uno dei suoi impianti di produzione, e 55 autovelox a Victoria, in Australia.

Centinaia di migliaia di computer sono stati compromessi attraverso una vulnerabilità divulgata e corretta due mesi prima. Quanto danno può essere fatto ai sistemi Windows 10 non aggiornati tra due mesi?

Fine del ciclo di vita di Windows 10

Microsoft ha rilasciato l'ultimo degli aggiornamenti gratuiti per Windows 10 il 14 ottobre. Ci hanno dato ampio preavviso, e ormai la maggior parte degli utenti business avrà già effettuato l'upgrade a Windows 11 o acquistato aggiornamenti estesi per Windows 10. Se non l'hai ancora fatto, ora è il momento di agire. Puoi optare per gli Aggiornamenti di Sicurezza Estesi (ESU) per Windows 10 o effettuare l'upgrade a Windows 11. La soluzione ESU è disponibile per tre anni, ma dovrebbe essere sufficiente per passare a un altro sistema operativo. Rimanere su una versione non supportata di Windows 10 rappresenta un rischio per la sicurezza che continuerà a crescere.

Non si tratta solo di Windows

Mentre Windows 10 attira molta attenzione, gli hacker prendono di mira anche altri componenti che non sono così visibili all'utente. Queste vulnerabilità possono essere più difficili da correggere, soprattutto se sono presenti in dispositivi mission-critical. Gli attaccanti amano obiettivi come questo perché le vittime sono sotto maggiore pressione per pagare un riscatto se questi dispositivi di produzione vengono compromessi.  

Una gestione efficace delle patch richiede visibilità su tutti i livelli software e hardware e la priorità dei componenti ad alto rischio. L'aggiornamento a Windows 11 o l'acquisto di ESU per Windows 10 può chiudere alcune principali vettori di attacco, ma la difesa non si ferma qui. Firmware, applicazioni, sistemi embedded e sistemi operativi dei dispositivi mobili devono far parte del tuo programma di gestione delle patch.