Microsoft e Apache Tomcat sono recentemente finiti sotto i riflettori per due questioni di sicurezza di grande rilevanza. Il primo caso riguarda un errore nell’ultimo aggiornamento cumulativo di Windows, che ha rimosso involontariamente Copilot dai sistemi operativi Windows 10 e Windows 11. Il secondo, più allarmante, coinvolge una grave vulnerabilità di remote code execution (RCE) identificata in Apache Tomcat con il codice CVE-2025-24813, che permette a un attaccante di ottenere il pieno controllo di un server con una semplice richiesta PUT.
Microsoft rimuove per errore Copilot con gli aggiornamenti di marzo
Dopo il rilascio degli aggiornamenti di sicurezza KB5053598 per Windows 11 24H2 e KB5053606 per Windows 10 22H2, molti utenti hanno segnalato che Copilot, l’assistente AI di Microsoft, è stato disinstallato automaticamente dai loro dispositivi. Microsoft ha confermato il problema, spiegando che si tratta di un errore non intenzionale e che il bug è in fase di analisi.
Gli aggiornamenti coinvolti sono stati rilasciati nell’ambito del Patch Tuesday di marzo 2025, e il problema non sembra riguardare Microsoft 365 Copilot, la versione dell’assistente AI integrata nelle applicazioni Office. Microsoft non ha ancora incluso questa problematica nel Windows release health dashboard, il canale ufficiale per segnalare problemi noti ai clienti.
Per il momento, la soluzione suggerita da Microsoft è di reinstallare manualmente Copilot dal Microsoft Store e aggiungerlo nuovamente alla barra delle applicazioni, in attesa di un fix ufficiale. Tuttavia, non tutti gli utenti sembrano intenzionati a farlo, considerando che Copilot non ha riscosso unanime apprezzamento tra il pubblico.
Questo problema si aggiunge a una serie di errori di gestione di Copilot da parte di Microsoft. Nel giugno 2024, l’azienda ha dovuto rimuovere un’app Copilot erroneamente aggiunta a Windows 10 e 11 tramite un aggiornamento di Microsoft Edge. L’azienda ha poi spiegato che l’app era stata installata per errore e che non trasmetteva dati ai server Microsoft. Un caso simile si era verificato anche nelle versioni preliminari di Windows Server 2025, dove Copilot era stato introdotto e poi rimosso dopo il feedback negativo degli amministratori IT.
Nel frattempo, Microsoft sta lavorando per migliorare Copilot con nuove funzionalità. Tra gli aggiornamenti più recenti, è stato introdotto un nuovo comando vocale che permette agli utenti di interagire con l’AI premendo Alt + Barra spaziatrice per due secondi.
Apache Tomcat sotto attacco RCE con CVE-2025-24813
Mentre Microsoft affronta problemi con Copilot, il mondo della sicurezza IT è in allerta per una nuova vulnerabilità critica che coinvolge Apache Tomcat, uno dei server web Java più diffusi. La vulnerabilità CVE-2025-24813 è una falla di remote code execution (RCE) che consente a un attaccante di compromettere un server con una semplice richiesta PUT.
Questa falla è particolarmente pericolosa perché sfrutta il meccanismo di persistenza delle sessioni di Tomcat, combinandolo con la gestione parziale delle richieste PUT. Il processo di attacco si sviluppa in due fasi principali.
Nella prima fase, l’attaccante carica un file di sessione serializzato malevolo utilizzando una richiesta PUT. Questo file viene memorizzato automaticamente da Tomcat nella directory delle sessioni, un comportamento normale del server. Il payload del file sfrutta una catena di exploit basata su ysoserial, un noto strumento per attacchi di deserializzazione Java.
Nella seconda fase, l’attaccante invia una richiesta GET con un cookie di sessione che punta al file caricato in precedenza. Quando Tomcat carica il file di sessione, lo deserializza ed esegue il codice dannoso, permettendo all’attaccante di ottenere accesso completo al server.
La semplicità dell’attacco rende questa vulnerabilità estremamente pericolosa. Non è richiesta alcuna autenticazione per sfruttare la falla, e la tecnica può bypassare molte soluzioni di sicurezza, come firewall e sistemi di prevenzione delle intrusioni, grazie all’uso della codifica Base64.
Le soluzioni di sicurezza tradizionali, come i Web Application Firewall (WAF), spesso falliscono nel bloccare questi attacchi, poiché la richiesta PUT sembra legittima e non contiene contenuti immediatamente riconoscibili come dannosi. Inoltre, trattandosi di un attacco in due fasi, la parte realmente malevola viene eseguita solo nel momento della deserializzazione, rendendo più difficile l’individuazione del problema.
Gli esperti di sicurezza avvertono che questa vulnerabilità potrebbe essere solo l’inizio. La gestione errata delle richieste PUT in Tomcat potrebbe consentire attacchi più sofisticati, inclusa l’installazione di backdoor permanenti, la modifica della configurazione del server e la distribuzione di malware personalizzato.
Per difendersi da CVE-2025-24813, gli amministratori devono applicare immediatamente le patch di sicurezza rilasciate da Apache e considerare l’uso di strumenti di protezione avanzati che monitorano il traffico API in tempo reale. L’analisi completa della vulnerabilità è disponibile su Wallarm.
Questi due incidenti sottolineano la crescente complessità della gestione della sicurezza nei sistemi moderni. Da un lato, un aggiornamento errato di Windows ha portato alla rimozione involontaria di Copilot, costringendo gli utenti a reinstallarlo manualmente. Dall’altro, una nuova vulnerabilità critica in Apache Tomcat ha reso migliaia di server esposti a potenziali attacchi.
Nel contesto attuale, in cui le minacce informatiche diventano sempre più sofisticate e i problemi software possono avere impatti significativi su milioni di utenti, la sicurezza informatica deve essere una priorità assoluta. Le aziende devono adottare strategie di protezione avanzate, come il monitoraggio in tempo reale delle vulnerabilità e l’uso di strumenti di sicurezza basati sull’analisi comportamentale.
L’approccio reattivo, basato sul rilascio di patch dopo che una vulnerabilità è stata sfruttata, non è più sufficiente. Il panorama delle minacce evolve rapidamente e richiede soluzioni in grado di bloccare gli attacchi in tempo reale, prima che possano causare danni irreparabili.
