Microsoft: corretto zero-day di Power Pages sfruttato negli attacchi

Microsoft ha pubblicato un bollettino di sicurezza per una vulnerabilità di elevazione dei privilegi di gravità elevata in Power Pages, che gli hacker hanno sfruttato come zero-day negli attacchi. Il difetto, tracciato come CVE-2025-24989, è un problema di controllo di accesso improprio che ha un impatto su Power Pages. Questo consente ad attori non autorizzati di elevare i propri privilegi su una rete e di aggirare i controlli di registrazione degli utenti.

Microsoft afferma di aver affrontato il rischio a livello di servizio e di aver avvertito i clienti interessati, allegando istruzioni su come rilevare potenziali compromissioni.  Come si legge nel bollettino di sicurezza di Microsoft: "Questa vulnerabilità è già stata mitigata nel servizio e tutti i clienti interessati sono stati avvisati. Questo aggiornamento ha affrontato il bypass del controllo di registrazione. Ai clienti interessati sono state fornite istruzioni su come esaminare i loro siti per potenziali metodi di sfruttamento e pulizia. Se non sei stato avvisato, questa vulnerabilità non ti riguarda".

Microsoft: sfruttamento dello zero-day possibilmente avvenuto in remoto

Microsoft Power Pages è una piattaforma di sviluppo web low-code basata su SaaS. Questa consente agli utenti di creare, ospitare e gestire siti web aziendali sicuri rivolti all'esterno. Fa parte di Microsoft Power Platform, che include strumenti come Power BI, Power Apps e Power Automate. Poiché Power Pages è un servizio basato su cloud, si può supporre che lo sfruttamento sia avvenuto in remoto. Il gigante del software non ha fornito dettagli su come la falla è stata sfruttata negli attacchi. Oltre alla falla di Power Pages, ieri Microsoft ha anche corretto una vulnerabilità di esecuzione di codice remoto di Bing. Il difetto è tracciato come CVE-2025-21355 ma non è stato contrassegnato come sfruttato.

Microsoft ha già applicato delle correzioni al servizio Power Pages e il fornitore ha condiviso privatamente le linee guida direttamente con i clienti interessati. Tuttavia, ci sono alcuni consigli generici sulla sicurezza che gli utenti possono prendere in considerazione. Gli amministratori dovrebbero esaminare i registri delle attività per azioni sospette, registrazioni degli utenti o modifiche non autorizzate. Poiché CVE-2025-24989 è un bug di elevazione dei privilegi, anche gli elenchi degli utenti dovrebbero essere esaminati attentamente. Ciò servirà a verificare gli amministratori e gli utenti con privilegi elevati.

Le recenti modifiche ai privilegi, ai ruoli di sicurezza, alle autorizzazioni e ai controlli di accesso alle pagine web dovrebbero essere esaminate ulteriormente. Gli account non autorizzati o quelli che mostrano attività non autorizzate dovrebbero essere immediatamente revocati. Inoltre, le credenziali interessate dovrebbero essere reimpostate e l'autenticazione a più fattori (MFA) dovrebbe essere applicata a tutti gli account. Come accennato, gli utenti che non sono stati avvisati da Microsoft, potrebbero non essere interessati dal problema.