CVE-2025-24990: la vulnerabilità del driver fax dimenticato in Windows che minaccia la sicurezza aziendale
Una vulnerabilità nascosta da quasi vent’anni
La falla di sicurezza identificata come CVE-2025-24990 riguarda un vecchio driver presente da anni nei sistemi Windows: ltmdm64.sys, originariamente creato per gestire i modem fax dei primi anni 2000. Sebbene questo hardware sia ormai scomparso, il driver è rimasto attivo in molte versioni del sistema operativo, dai PC ai server.
Perché questo driver rappresenta un rischio reale
Il problema: escalation di privilegi
La vulnerabilità consente a un attaccante con accesso minimo alla macchina di ottenere privilegi amministrativi completi.
Per chi non avesse familiarità: l’escalation di privilegi è la capacità di ottenere poteri che un utente non dovrebbe avere, come accedere a dati riservati, disinstallare protezioni, modificare configurazioni critiche o installare malware. In sintesi, dà all’attaccante il pieno controllo del dispositivo.
Perché riguarda tutte le aziende
Il driver è stato distribuito nativamente sin dal 2006.
Di conseguenza, moltissimi computer e server – anche recenti – potrebbero ancora contenerlo, anche se nessuno in azienda ha mai utilizzato un modem fax.
Se il file è presente, la vulnerabilità esiste.
La risposta di Microsoft: rimozione totale
Microsoft ha scelto di rimuovere definitivamente il driver nell’aggiornamento cumulativo di ottobre 2025, spiegando che il codice era troppo obsoleto per essere corretto in modo sicuro.
Ogni hardware fax-modem che lo utilizzava smetterà di funzionare dopo l’aggiornamento.
Come verificare se il driver è presente nel sistema
Controllo rapido
- Premi Windows + R
- Incolla nella finestra:
C:\Windows\System32\drivers - Cerca il file ltmdm64.sys
Controllo via PowerShell
Se il comando restituisce “True”, il driver è presente.
Impatti su sicurezza, NIS2 e GDPR
Questa vulnerabilità non ha solo implicazioni tecniche, ma anche normative.
NIS2 e l’art. 32 del GDPR richiedono alle aziende di adottare misure per prevenire vulnerabilità note.
Mantenere attivo un driver obsoleto e vulnerabile può costituire:
-
una violazione della sicurezza
-
una mancanza di misure tecniche adeguate
-
un rischio operativo e reputazionale
-
un problema di conformità
In altre parole, ignorare la vulnerabilità espone l’azienda a rischi che vanno oltre la tecnologia.
Cosa fare subito
Installare gli aggiornamenti di Windows
L’update di ottobre 2025 rimuove automaticamente il driver vulnerabile.
Verificare la presenza del driver su tutta l’infrastruttura
Dagli endpoint ai server di produzione.
Aggiornare l’inventario software e i processi interni
Questo caso dimostra quanto sia essenziale avere un monitoraggio costante del software legacy.
Rafforzare i processi di cyber hygiene
Patching, hardening, vulnerability assessment e gestione del rischio devono essere continui e documentati.
In Conclusione
CVE-2025-24990 dimostra quanto anche un componente dimenticato, nato per un hardware ormai superato, possa diventare una vulnerabilità seria per l’intera infrastruttura aziendale.
La sicurezza richiede attenzione costante, aggiornamenti tempestivi e una gestione proattiva del rischio.
FAQ
Cos’è il driver ltmdm64.sys?
È un vecchio driver per modem fax distribuito nativamente da Windows. Anche senza modem collegato, il file può essere ancora presente nel sistema.
Perché la vulnerabilità CVE-2025-24990 è critica?
Perché consente escalation di privilegi, permettendo a un attaccante di ottenere controlli amministrativi totali.
Sono vulnerabile anche senza modem fax?
Sì. La sola presenza del driver nel sistema è sufficiente per essere a rischio.
Come si risolve il problema?
Microsoft ha rimosso completamente il driver nell’aggiornamento cumulativo di ottobre 2025. Aggiornare Windows è sufficiente.