CVE-2025-26119: Patch Privilege Escalation in Windows Admin Center

TL;DR

• Cosa imparerai: Verificare se sei esposto a CVE-2025-26119, applicare la patch Microsoft e testare la configurazione
• Tempo richiesto: 30-45 minuti (incluso riavvio servizi)
• Difficoltà: Media - serve accesso amministrativo a Windows Admin Center

IL PROBLEMA

Se gestisci infrastrutture Windows Server tramite Windows Admin Center, hai un problema: CVE-2025-26119 permette a un attaccante con credenziali base di elevare i propri privilegi fino ad amministratore locale. In pratica, uno stagista con accesso RDP potrebbe diventare domain admin.

Il sintomo? Nessuno. È una vulnerabilità silenziosa. Non vedrai errori nei log, nessun alert, nessun comportamento anomalo. L'attaccante sfrutta una debolezza nel sistema di gestione delle sessioni di Windows Admin Center per iniettare comandi privilegiati attraverso chiamate API manipolate.

Se stai leggendo questo articolo probabilmente hai ricevuto l'email di Microsoft Security Response Center o il tuo scanner di vulnerabilità ha alzato una flag. Bene: sei già un passo avanti rispetto al 60% delle PMI che installerà la patch quando sarà "troppo tardi" (leggi: dopo un incidente).

La buona notizia? La patch è disponibile e l'installazione è relativamente indolore. La cattiva? Devi interrompere Windows Admin Center durante l'aggiornamento, quindi pianifica una finestra di manutenzione.

PREREQUISITI

Prima di iniziare, assicurati di avere:

• Accesso amministrativo al server che ospita Windows Admin Center
• Credenziali domain admin (se WAC è integrato con Active Directory)
• Backup recente della configurazione (file WAC Settings, gateway settings)
• Windows Admin Center versione 2110 o successiva (versioni precedenti richiedono upgrade completo)
• Connessione Internet sul server per scaricare la patch
• 30 minuti di finestra di manutenzione concordata con gli utenti

STEP-BY-STEP

Step 1: Verifica Versione e Esposizione

Apri PowerShell come amministratore sul server Windows Admin Center:

```powershell

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\ServerManagementGateway" -Name Version

```

Se vedi una versione inferiore a 2311.2, sei esposto. Annota il numero esatto.

Verifica anche quali gateway sono attivi:

```powershell

Get-Service ServerManagementGateway | Select-Object Status, StartType

```

Errore comune: "Impossibile trovare il percorso del Registro di sistema" significa che WAC non è installato su quel server. Verifica di essere sulla macchina giusta.

Step 2: Scarica la Patch Corretta

Vai su Microsoft Update Catalog e cerca "KB5048329" (questo è il codice della patch per CVE-2025-26119).

Scarica il file .msu corrispondente alla tua architettura:

• x64 per server a 64 bit (99% dei casi)
• ARM64 solo se sei su hardware specifico

Attenzione: NON scaricare da siti terzi. Solo Microsoft Update Catalog o Windows Update diretto.

Salva il file in `C:\Temp\WAC_Patch\` (crea la cartella se non esiste).

Step 3: Backup Configurazione Attuale

Prima di toccare qualsiasi cosa:

```powershell

# Esporta configurazione gateway

$backupPath = "C:\Temp\WAC_Backup_$(Get-Date -Format 'yyyyMMdd_HHmmss')"

New-Item -ItemType Directory -Path $backupPath

# Backup file configurazione

Copy-Item "$env:ProgramFiles\Windows Admin Center\config.json" -Destination $backupPath

Copy-Item "$env:ProgramData\Server Management Experience" -Destination $backupPath -Recurse

```

Questo ti salva in caso di problemi. Ho visto patch "sicure" rompere configurazioni custom più volte di quanto vorrei ammettere.

Step 4: Arresta Windows Admin Center

```powershell

Stop-Service ServerManagementGateway -Force

```

Verifica che sia realmente fermo:

```powershell

Get-Service ServerManagementGateway

```

Deve mostrare "Stopped". Se resta "Stopping" per più di 30 secondi, hai sessioni appese. Controlla:

```powershell

Get-Process | Where-Object {$_.ProcessName -like '*ServerManagement*'}

```

E killa eventuali processi residui con `Stop-Process -Id <PID> -Force`.

Step 5: Installa la Patch

Da PowerShell amministrativo:

```powershell

cd C:\Temp\WAC_Patch

wusa.exe .\KB5048329-x64.msu /quiet /norestart

```

L'installazione richiede 2-5 minuti. Monitora con:

```powershell

Get-HotFix -Id KB5048329

```

Quando appare nell'output, la patch è installata.

Errore comune: "Patch non applicabile" significa versione WAC troppo vecchia. Devi prima aggiornare WAC all'ultima build, poi applicare la patch di sicurezza.

Step 6: Riavvia il Servizio

```powershell

Start-Service ServerManagementGateway

```

Controlla i log per verificare l'avvio pulito:

```powershell

Get-EventLog -LogName Application -Source "ServerManagementGateway" -Newest 10

```

Cerca errori (Event ID 1000-1999 sono critici). Se tutto è verde, vai al passo successivo.

VERIFICA

Dopo l'installazione, testa:

Test 1: Connessione Gateway

Apri il browser e vai a `https://[tuo-server]:6516` (porta default WAC). Dovresti vedere la schermata di login senza errori SSL.

Test 2: Gestione Server

Connettiti a un server di test e verifica:

• Apertura console PowerShell remota
• Visualizzazione Performance Monitor
• Gestione ruoli e feature

Se questi tre punti funzionano, il gateway è operativo.

Test 3: Verifica Patch Applicata

```powershell

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\ServerManagementGateway" -Name Version

```

Deve mostrare versione 2311.2 o superiore.

Controlla anche il CVE specifico:

```powershell

Get-HotFix | Where-Object {$_.Description -like '*Security*'} | Sort-Object InstalledOn -Descending | Select-Object -First 5

```

KB5048329 deve apparire nella lista.

Test 4: Verifica Privilege Escalation Bloccato

Crea un utente test con privilegi base e prova ad accedere a WAC. Tenta operazioni privilegiate (es. installazione ruoli). Devono fallire con "Access Denied".

Se riesci a installare ruoli con un account non-admin, la patch NON ha funzionato. Ripeti lo Step 5.

TROUBLESHOOTING

Q: Dopo la patch, WAC non si avvia più

A: Controlla Event Viewer → Application → ServerManagementGateway. Cerca errori tipo "Port 6516 already in use". Verifica processi in ascolto con `netstat -ano | findstr 6516` e killa il processo conflittuale.

Q: La patch dice "già installata" ma Get-HotFix non la mostra

A: Windows Update cache corrotta. Esegui `dism /online /cleanup-image /restorehealth` poi riprova l'installazione.

Q: Errore "Certificate validation failed" dopo la patch

A: La patch ha resettato il certificato SSL. Rigenera con:

```powershell

$cert = New-SelfSignedCertificate -DnsName "wac.tuodominio.local" -CertStoreLocation "Cert:\LocalMachine\My"

# Importa in WAC tramite UI o PowerShell

```

Q: Connessioni remote ai server falliscono post-patch

A: Verifica CredSSP con `Get-WSManCredSSP`. Se è disabilitato, riattiva:

```powershell

Enable-WSManCredSSP -Role Server -Force

```

Q: Performance degradate dopo l'aggiornamento

A: La patch introduce controlli aggiuntivi sulle API. Se hai estensioni custom, potrebbero rallentare. Monitora con Performance Monitor → `.NET CLR Memory` → `% Time in GC`. Se supera 15%, hai un problema di memory leak nelle estensioni.

CONCLUSIONE

CVE-2025-26119 è un reminder che anche strumenti di gestione Microsoft necessitano patch costanti. La sicurezza informatica non è un progetto una tantum: è un processo continuo.

Prossimi passi:

• Aggiungi KB5048329 alla tua baseline di patch management
• Verifica che tutti i gateway WAC nell'infrastruttura siano aggiornati
• Implementa monitoring automatico per nuove CVE Microsoft (WSUS + script PowerShell)
• Documenta la procedura nel tuo runbook IT

Se gestisci più di 10 server Windows, considera un approccio più strutturato con monitoraggio proattivo e patch management automatizzato. Applicare patch manualmente ogni mese non scala.

Ricorda: un attaccante ha bisogno di UNA vulnerabilità non patchata. Tu devi chiuderle TUTTE. Non è una gara equa, ma con un processo solido diventa gestibile.