Data di pubblicazione originale: 8 aprile 2025
ID KB: 5058189
Riassunto
In Windows esiste una vulnerabilità che consente agli utenti non autorizzati di visualizzare il percorso completo del file di una risorsa a cui non hanno le autorizzazioni di accesso. Questa vulnerabilità può verificarsi quando l'utente ha FILE_LIST_DIRECTORY diritti di accesso in una cartella padre e ottiene notifiche di modifica della directory.
Per ulteriori informazioni su questa vulnerabilità, vedere CVE-2025-21197 e CVE-2025-27738.
Altre informazioni
La correzione di questa vulnerabilità è inclusa negli aggiornamenti di Windows rilasciati dopo l'8 aprile 2025 incluso.
Questa correzione può essere applicata ai volumi NTFS e ReFS per prevenire questa vulnerabilità. Questa correzione consente di eseguire un controllo di accesso FILE_LIST_DIRECTORY sulla cartella padre del file o della cartella modificata prima di segnalare modifiche a un utente non autorizzato. Se l'utente non dispone delle autorizzazioni necessarie, le notifiche di modifica verranno filtrate, impedendo la divulgazione non autorizzata dei percorsi di file.
Per impostazione predefinita, questa correzione è disabilitata per evitare rischi imprevisti per la sicurezza o interruzioni delle applicazioni.
Per abilitare questa correzione, è possibile impostare il valore della chiave del Registro di sistema o della chiave di criteri di gruppo nel sistema interessato. A questo scopo, usare uno dei metodi seguenti.
Metodo 1: Registro di sistema
Nel Registro di sistema di Windows attiva la correzione nella sottochiave Criteri o FileSystem .
Cautela Se le sottochiavi Criteri e FileSystem sono abilitate, la sottochiave Criteri ha la precedenza.
|
Politiche |
Posizione nel Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies Nome DWORD: EnforceDirectoryChangeNotificationPermissionCheck Data valore: 1 (il valore predefinito è 0) Nota Per disattivare la correzione, impostare Dati valore su 0. |
|
FileSystem |
Posizione nel Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Nome DWORD: EnforceDirectoryChangeNotificationPermissionCheck Data valore: 1 (il valore predefinito è 0) Nota Per disattivare la correzione, impostare Dati valore su 0. |
Metodo 2: PowerShell
Per abilitare la correzione, eseguire PowerShell come amministratore e attivare la correzione nella sottochiave Criteri o FileSystem .
|
Politiche |
Eseguire questo comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
FileSystem |
Eseguire questo comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Per disabilitare la correzione, eseguire PowerShell come amministratore e disattivare la correzione nella sottochiave Criteri o FileSystem .
|
Politiche |
Eseguire questo comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
FileSystem |
Eseguire questo comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
