Ivanti Blog: Post di

DLL hijacking: rischi, esempi reali e come prevenire gli attacchi

Wed, 17 Dec 2025 14:00:02 Z

Si è parlato molto di CVE-2025-56383 (pubblicata il 26 settembre 2025), una vulnerabilità di hijacking in Notepad++ v8.8.3 in cui un file DLL può essere sostituito per eseguire codice dannoso.

La CVE è stata contestata da più parti, ma non è questo l’aspetto su cui intendiamo soffermarci. Vogliamo invece approfondire il DLL hijacking e discutere della minaccia concreta che rappresenta per un’organizzazione. Vediamo cos’è il DLL hijacking e quali misure è possibile adottare per mantenere le DLL al sicuro.

Cos’è il DLL hijacking e come avviene

Il DLL hijacking (noto anche come attacco di preloading delle DLL) è una vulnerabilità di sicurezza in cui un file Dynamic Link Library (DLL) legittimo e attendibile in un’applicazione Windows viene sostituito con un file dannoso.

Questo metodo sfrutta il modo in cui le applicazioni caricano i file DLL, che contengono codice e dati utilizzati da più programmi. Caricando una DLL dannosa, un threat actor può eseguire il proprio codice con gli stessi privilegi dell’applicazione legittima, provocando escalation dei privilegi, persistenza ed evasione delle difese.

Quando un programma si avvia, spesso deve caricare diverse DLL per eseguire funzioni specifiche, in genere da directory di sistema attendibili. Tuttavia, se un’applicazione non presta attenzione al percorso in cui cerca queste DLL, potrebbe caricare una DLL dannosa da una posizione non sicura o prevedibile (ad esempio, la directory di lavoro corrente o una condivisione di rete). Questo può accadere se l’applicazione non specifica il percorso completo della DLL o se la cerca in una directory accessibile o modificabile da un aggressore.

Sebbene questo tipo di attacco non sia nuovo, rimane efficace grazie alla sua semplicità. E anche se questo problema specifico riguarda le applicazioni Windows, è importante sottolineare che vulnerabilità simili possono interessare altri sistemi operativi (come Linux e macOS, che utilizzano il caricamento dinamico per le librerie condivise).

Il DLL hijacking introduce molteplici rischi per la sicurezza, tra cui:

Furto di dati: la DLL dannosa può intercettare e rubare dati sensibili, come password o informazioni personali.
Sistemi compromessi: l’aggressore può ottenere il controllo del sistema, con il rischio di ulteriori attacchi o dell’installazione di malware aggiuntivo.
Malware: la DLL dannosa può fungere da canale per la diffusione di malware, infettando altre parti del sistema o della rete.

Una DLL può essere sottoposta a hijacking in diversi modi; ecco alcune delle tecniche più comuni:

Ordine di ricerca delle DLL non sicuro: gli aggressori inseriscono DLL dannose in directory cercate prima della posizione della DLL legittima.
Manipolazione dei percorsi relativi: le DLL dannose vengono caricate quando le applicazioni utilizzano percorsi relativi.
Reindirizzamento delle DLL: tecniche come la manipolazione dei percorsi reindirizzano il processo di caricamento delle DLL.
Autorizzazioni deboli: gli aggressori sostituiscono DLL legittime con DLL dannose in directory con autorizzazioni deboli.
Phantom DLL hijacking: gli aggressori sfruttano le applicazioni che caricano DLL inesistenti inserendo DLL dannose con lo stesso nome nelle directory oggetto di ricerca.

Queste potenziali vulnerabilità evidenziano l’importanza di pratiche di sviluppo sicuro e della gestione delle autorizzazioni delle directory per prevenire questa forma di attacco.

Come prevenire il DLL hijacking e mantenere le DLL al sicuro

Sebbene il DLL hijacking rimanga una minaccia, esistono best practice da seguire e implementare per ridurre il rischio e creare un ambiente IT più sicuro e protetto.

Caricamento sicuro delle DLL:

Utilizzare percorsi completi: specificare sempre il percorso completo della DLL quando viene caricata. In questo modo l’applicazione carica la DLL da una posizione attendibile (e non da una directory non sicura).
Impostare un percorso di ricerca sicuro: utilizzare la funzione SetDllDirectory in Windows per aggiungere directory attendibili al percorso di ricerca ed escludere quelle non sicure. Questo può aiutare a impedire all’applicazione di caricare DLL da posizioni inattese.

Controlli di integrità dei file:

Firme digitali: assicurarsi che le DLL siano firmate con una firma digitale e verificare la firma prima di caricare la DLL. Questo può aiutare a confermare che la DLL non sia stata manomessa.
Verifica dell’hash: utilizzare funzioni hash crittografiche per verificare l’integrità dei file DLL. Se l’hash della DLL non corrisponde al valore previsto, il file potrebbe essere stato modificato.

Autorizzazioni degli utenti:

Principio del privilegio minimo: eseguire le applicazioni con il privilegio minimo necessario. Ciò limita il potenziale danno di un DLL hijacking, poiché il codice dannoso disporrà di meno autorizzazioni per eseguire azioni nocive.
Controllo dell’account utente (UAC): abilitare UAC sui sistemi Windows per richiedere agli utenti l’autorizzazione prima di eseguire applicazioni con privilegi elevati. Questo può aiutare a prevenire modifiche non autorizzate ai file di sistema.

Controllo delle applicazioni e gestione dei privilegi:

Applicazioni note e attendibili: il controllo delle applicazioni garantisce che possano essere avviate solo applicazioni note e attendibili, eliminando il rischio di introdurre applicazioni non autorizzate.
Controllo dei privilegi: una gestione efficace dei privilegi è fondamentale per prevenire il DLL hijacking. Assicurando che le applicazioni dispongano dei diritti e dei privilegi corretti per l’avvio, si limita la possibilità per gli utenti non autorizzati di introdurre file dannosi. Questo controllo agisce come una barriera chiave, limitando l’accesso di cui un aggressore ha bisogno per sfruttare il meccanismo di ricerca delle DLL e migliorando così la sicurezza dell’ambiente.

Software di sicurezza:

Antivirus e anti-malware: utilizzare software antivirus e anti-malware affidabili per rilevare e impedire il caricamento di DLL dannose. Questi strumenti possono eseguire scansioni alla ricerca di file e comportamenti dannosi noti.
Sistemi di rilevamento delle intrusioni (IDS): implementare IDS per monitorare attività insolite, come modifiche inattese ai file DLL o tentativi di caricare DLL da posizioni non sicure.

Gestione delle patch:

Mantenere aggiornato il software: aggiornare regolarmente applicazioni e sistemi operativi con le patch di sicurezza più recenti. Molte vulnerabilità di DLL hijacking vengono risolte tramite aggiornamenti, quindi restare al passo aiuta a proteggersi dalle minacce note.
Patching automatizzato: utilizzare uno strumento di gestione automatizzata delle patch per garantire che tutti i sistemi siano mantenuti aggiornati senza intervento manuale. Questo riduce la finestra di opportunità per gli aggressori di sfruttare vulnerabilità note, incluse quelle che potrebbero essere utilizzate per il DLL hijacking. Questo approccio proattivo aiuta a mantenere l’integrità delle applicazioni e dei sistemi operativi, rendendo molto più difficile per gli aggressori inserire DLL dannose.

Implementando queste best practice, è possibile ridurre in modo significativo il rischio di DLL hijacking e migliorare la sicurezza complessiva di applicazioni e sistemi.

Combinare strumenti e tattiche adeguati per prevenire il DLL hijacking

Il DLL hijacking è una forma di attacco persistente da anni, a dimostrazione del fatto che è ancora efficace e continuerà quindi a rappresentare un problema per le organizzazioni.

Prepara la tua organizzazione al futuro utilizzando le best practice citate sopra insieme a soluzioni comprovate come Ivanti Neurons for App Control per contribuire a mantenere sicure le DLL. Funzionalità come Trusted Ownership rilevano e impediscono l’esecuzione di una DLL sottoposta a hijacking verificando che la proprietà degli elementi corrisponda all’elenco approvato di proprietari attendibili.

Inoltre, mantieni aggiornate le app per limitare l’esposizione alle vulnerabilità note. Elimina il rischio di errore umano automatizzando il patching con Ivanti Neurons for Patch Management, assicurando che i sistemi siano aggiornati e protetti automaticamente.

Migrazione a Windows 11: il percorso Customer Zero di Ivanti per gli aggiornamenti a Win11

Mon, 21 Jul 2025 15:46:23 Z

Windows 11 offre una sicurezza avanzata e un’interfaccia utente moderna, ma la transizione può essere complessa per le grandi organizzazioni, con sfide logistiche e legate al coinvolgimento dei dipendenti. Microsoft terminerà il supporto per Windows 10 il 14 ottobre 2025, quindi è fondamentale iniziare fin da ora a pianificare ed eseguire le distribuzioni di Windows 11.

La necessità di migrare a Windows 11

Migrare a Windows 11 è essenziale per restare aggiornati, sicuri ed efficienti. Offre funzionalità di sicurezza avanzate, come una crittografia più robusta e un rilevamento delle minacce migliorato, proteggendo i dati e rafforzando la resilienza IT. L’interfaccia intuitiva semplifica inoltre le attività quotidiane, aumentando la produttività. Con la fine del supporto Microsoft per Windows 10 prevista per quest’anno, l’aggiornamento può aiutare le organizzazioni a evitare maggiori rischi per la sicurezza e potenziali tempi di inattività. Secondo Gartner, molte aziende scelgono di sostituire anche i dispositivi compatibili con nuovo hardware per garantire prestazioni ottimali con Windows 11. Una pianificazione proattiva assicura una transizione fluida e senza interruzioni.

Il caso d’uso Ivanti per la migrazione da Windows 10 a Windows 11

In Ivanti, stiamo implementando con successo le migrazioni a Windows 11 dall’inizio del 2025. Come molte grandi organizzazioni, discutiamo e pianifichiamo questa migrazione da tempo. L’obiettivo è aggiornare tempestivamente ogni dispositivo idoneo e valutare i dispositivi non idonei per ulteriori attività di risoluzione dei problemi o per la sostituzione.

Per raggiungere questo obiettivo, abbiamo scelto di utilizzare prioritariamente le soluzioni della nostra piattaforma Ivanti Neurons, che ci hanno fornito gli strumenti proattivi e le informazioni necessarie per una distribuzione efficace di Windows 11. Con un approccio per fasi, siamo riusciti a identificare e risolvere i problemi segnalati dagli early adopter e a raccogliere feedback preziosi. Una volta confermata la validità del piano, abbiamo potuto distribuire gradualmente l’aggiornamento al resto dell’organizzazione, garantendo una migrazione complessivamente più fluida.

Possibili sfide

Come qualsiasi altra azienda, volevamo anticipare ogni potenziale ostacolo a una migrazione di successo.

Compatibilità hardware e dispositivi sconosciuti

Una delle sfide principali nell’aggiornamento a Windows 11 è soddisfare i requisiti hardware. Molti dispositivi esistenti potrebbero non rispettare i rigorosi criteri di Microsoft, limitando il numero di dispositivi idonei. Questo può essere particolarmente problematico per le organizzazioni con un mix di hardware meno recente. Per affrontare questo aspetto, il team IT di Ivanti ha utilizzato le nostre funzionalità di discovery per eseguire un inventario e una valutazione approfonditi di tutti i dispositivi, identificando quelli da aggiornare o sostituire prima di avviare la migrazione. Non è possibile migrare dispositivi di cui non si conosce l’esistenza: per questo una visione completa del nostro panorama IT è stata un primo passo fondamentale.

Resistenza degli utenti finali e interruzioni della produttività

La resistenza degli utenti a nuove interfacce e funzionalità può rappresentare un altro ostacolo al successo. Il cambiamento può intimorire, e il nuovo aspetto e le funzionalità di Windows 11 possono mettere in difficoltà gli utenti abituati alle versioni precedenti. Anche gli aggiornamenti del sistema operativo possono interrompere il lavoro degli utenti, causando frustrazione e tempi di inattività. Per ridurre al minimo questi problemi, il team IT di Ivanti voleva assicurarsi che gli aggiornamenti avvenissero nel momento più comodo per l’utente finale, evitando la perdita di lavoro non salvato o interruzioni generali della produttività.

Continuare gli aggiornamenti di sicurezza con il supporto esteso

Non tutti i dispositivi possono essere aggiornati immediatamente a Windows 11 a causa dei requisiti hardware. Tuttavia, il supporto esteso di Ivanti ci consentirà di continuare a fornire aggiornamenti di sicurezza per Windows 10 oltre ottobre, mantenendo questi dispositivi protetti e operativi.

La distribuzione degli Extended Security Update (ESU) di Ivanti semplifica il processo di patching, riduce il carico di lavoro dell’IT e mantiene la conformità a normative come GDPR, HIPAA o PCI-DSS. I sistemi privi di patch affrontano oltre 1.200 vulnerabilità ogni anno e, secondo IBM, una violazione dei dati può costare in media 4,45 milioni di dollari. Dobbiamo assicurarci che tutti i dispositivi che non vengono aggiornati a Windows 11 restino protetti e al sicuro dalle vulnerabilità.

Il supporto esteso ci aiuta anche a prolungare il ciclo di vita dei dispositivi che non sono ancora pronti per essere sostituiti, oppure quando i vincoli di budget incidono sulle decisioni. Secondo Gartner, molte aziende stanno ancora rimandando gli acquisti nonostante la necessità di passare da Windows 10 a Windows 11, estendendo il ciclo di vita delle apparecchiature esistenti e cercando alternative per ottimizzare i budget. Le soluzioni ESU di Ivanti aiutano a prolungare la vita utile di questi dispositivi, evitando gli elevati costi di un rinnovo completo dell’hardware. Questo garantisce un patching senza interruzioni, riduce al minimo i rischi per la sicurezza e diminuisce l’impegno manuale dell’IT, aiutandoci a evitare potenziali perdite e interruzioni.

Il workflow di migrazione a Windows 11 di Ivanti

Ivanti Neurons ci ha permesso di automatizzare elementi chiave della migrazione, dalla valutazione iniziale dei dispositivi fino all’aggiornamento vero e proprio, semplificando ogni fase e consentendo al nostro team IT di concentrarsi su altre attività mission-critical. In generale, ecco come si presenta in Ivanti il workflow per aggiornare i dispositivi da Windows 10 a Windows 11.

1. Preparazione

Identificazione dei dispositivi: creare un gruppo di dispositivi Windows 10 che devono essere aggiornati.
Download dei file: inviare i file necessari ai dispositivi, garantendo un trasferimento dei dati efficiente tramite file ZIP.

2. Controllo preliminare

Verifica dell’idoneità: eseguire script PowerShell per verificare se il dispositivo soddisfa i requisiti hardware per Windows 11.
Verifica dell’alimentazione: assicurarsi che il dispositivo sia collegato all’alimentazione CA.

3. Interazione con l’utente

Notifica: utilizzare l’integrazione con il bot di Teams per informare gli utenti sull’aggiornamento e consentire loro di programmarlo.
Consenso: gli utenti forniscono il consenso all’aggiornamento tramite un messaggio interattivo di Teams.

4. Esecuzione dell’aggiornamento

Avvio dell’aggiornamento: eseguire l’Assistente aggiornamento Windows per effettuare l’aggiornamento.
Monitoraggio dell’avanzamento: monitorare il processo di aggiornamento e gestire eventuali errori o problemi che si presentano.

5. Azioni post-aggiornamento

Riavvio del dispositivo: invitare gli utenti a riavviare i dispositivi per completare l’aggiornamento.
Verifica dell’attivazione: verificare che il dispositivo sia attivato con un codice Product Key aziendale.
Aggiornamenti aggiuntivi: applicare eventuali aggiornamenti Windows necessari dopo l’upgrade.

6. Gestione degli errori

Creazione automatica dei ticket: utilizzare un bot per generare ticket per i dispositivi in cui il processo di aggiornamento non riesce.
Risoluzione dei problemi: il team dei servizi enterprise gestisce i casi in cui i dispositivi non possono essere aggiornati automaticamente.

7. Miglioramento continuo

Perfezionamento: suddividere il processo di aggiornamento in passaggi automatizzati più piccoli per semplificare le operazioni.
Feedback: integrare il feedback degli utenti per migliorare l’esperienza di aggiornamento.

Questo workflow garantisce una transizione fluida da Windows 10 a Windows 11, riducendo al minimo le interruzioni e gestendo le eccezioni in modo efficiente. Il processo è stato implementato gradualmente, una settimana alla volta. È stato costruito con attenzione e intenzionalità, con l’obiettivo di creare un processo e un workflow validi anche per il futuro, assicurandone flessibilità e modularità. In questo modo potremo riprendere un processo simile per la prossima generazione di Windows, quando arriverà.

Pronto a iniziare la tua migrazione a Windows 11?

Migrare a Windows 11 è essenziale per mantenere sicurezza, efficienza e conformità. Ivanti ha sfruttato le proprie soluzioni per automatizzare i passaggi chiave, raccogliere feedback dagli utenti e fornire aggiornamenti di sicurezza estesi per i dispositivi non idonei, garantendo al contempo una transizione fluida che riduce al minimo le interruzioni per gli utenti finali e massimizza l’efficienza dell’IT.

L’approccio e il workflow di Ivanti non solo rispondono alle sfide attuali, ma creano anche una base flessibile e modulare per i futuri aggiornamenti del sistema operativo.

Pronto a iniziare la tua migrazione a Windows 11? Scopri come Ivanti Neurons può semplificare e automatizzare il processo.

Esplora Ivanti Neurons