// 1 CRITICAL · 2 ZERO-DAY · 1 EXPLOIT NELLE ULTIME 24H
TrendAI ZDI ha divulgato ZDI-26-401, una zero-day in AnyDesk che consente DoS locale tramite junction. Il vendor ha risposto out of scope senza rilasciare fix.

TrendAI Zero Day Initiative ha reso pubblica l'advisory ZDI-26-401 l'8 luglio 2026, svelando una vulnerabilità zero-day nel software di accesso remoto AnyDesk che resta senza correzione 15 mesi dopo la segnalazione iniziale. Il difetto consente a un attaccante con codice a basso privilegio di innescare una condizione di denial-of-service abusando della funzione Send Support Information. La risposta del supporto AnyDesk, datata 11 dicembre 2025, ha chiuso il caso classificandolo "fuori dal proprio ambito".

Punti chiave
  • ZDI-26-401 è una vulnerabilità zero-day in AnyDesk non patchata al momento della disclosure coordinata dell'8 luglio 2026.
  • L'attacco richiede accesso locale con codice a basso privilegio e sfrutta junction NTFS per abusare del servizio Send Support Information.
  • L'impatto documentato è denial-of-service, con creazione di file arbitrari nel filesystem target.
  • Il vendor ha dichiarato il problema out of scope dopo sei contatti con ZDI; nessun fix è disponibile.

Il meccanismo: come una junction compromette il servizio

Il difetto risiede specificamente nella funzione Send Support Information di AnyDesk. Il servizio, che opera con privilegi elevati, segue junction NTFS senza validare il percorso di destinazione. Un processo con permessi limitati può creare una junction che redireziona le operazioni di scrittura del servizio verso percorsi arbitrari del filesystem.

Come documenta l'advisory ZDI, "by creating a junction, an attacker can abuse the service to create arbitrary files". Il risultato è una condizione di denial-of-service: la sovrascrittura di file di sistema o l'esaurimento delle risorse rende l'installazione target inutilizzabile. Non è richiesto l'accesso amministrativo, ma soltanto "the ability to execute low-privileged code on the target system".

La tecnica del link following attraverso junction rappresenta una classe di vulnerabilità nota su piattaforme Windows. Il servizio Send Support Information, pensato per raccogliere e trasferire dati diagnostici, non implementa controlli di sicurezza sul percorso risolto. Questa omissione permette a un attaccante di deviare operazioni legittime del servizio verso destinazioni controllate.

Una timeline che racconta un dialogo interrotto

ZDI ha aperto il caso il 30 marzo 2025. I contatti con AnyDesk si sono protratti per oltre nove mesi, con sei interazioni documentate. L'11 dicembre 2025 il supporto del vendor ha comunicato che il problema era "out of their scope". La disclosure pubblica coordinata è avvenuta il 26 giugno 2026 secondo la timeline interna ZDI, con pubblicazione advisory definitiva l'8 luglio 2026.

Il vendorPatchUrl nell'advisory punta all'indirizzo dell'advisory stesso: conferma esplicita dell'assenza di patch. Non è stato assegnato un CVE, né è stato fornito un punteggio CVSS. Le versioni specifiche di AnyDesk interessate non sono elencate nel documento.

La durata eccezionale del ciclo di disclosure — oltre 15 mesi dalla segnalazione alla pubblicazione — riflette la mancata convergenza tra ricercatore e vendor. ZDI ha seguito la procedura coordinata standard, ma la chiusura out of scope ha precluso qualsiasi possibilità di remediation collaborativa.

Perché la classificazione out of scope solleva un problema più ampio

"The vendor's support team communicated that the issue was out of their scope" — ZDI Advisory ZDI-26-401, timeline 2025-12-11

La decisione di AnyDesk rientra in un pattern osservato nella gestione delle vulnerabilità di sicurezza: vendor che delimitano il perimetro di responsabilità escludendo scenari di attacco che non coinvolgono direttamente i propri server. Nel caso di ZDI-26-401, il difetto è nel client installato su milioni di endpoint aziendali, non in un'infrastruttura remota. La distinzione tra "nostro ambito" e "problema dell'utente" lascia gli installazioni esposte.

AnyDesk è distribuito in ambienti enterprise per supporto remoto, help desk e accesso a sistemi critici. Un attaccante che abbia già compromesso un endpoint con malware può innescare il DoS bloccando l'operatività della macchina. L'assenza di fix ufficiale trasforma la vulnerabilità da teorica a gestibile solo attraverso mitigazioni esterne al prodotto.

La classificazione come zero-day nella lista delle pubblicazioni ZDI — con il prefisso "(0Day)" nel titolo — conferma lo stato di vulnerabilità non corretta. Questa etichettatura è riservata ai casi in cui il vendor non ha rilasciato patch al momento della disclosure coordinata.

Cosa fare adesso

Le organizzazioni che impiegano AnyDesk devono affrontare una zero-day locale non patchabile attraverso il ciclo normale di aggiornamento del vendor. L'advisory ZDI indica come unica mitigazione documentata la limitazione dell'interazione con il prodotto.

Le azioni specifiche per il caso ZDI-26-401 includono: mappare gli endpoint che eseguono AnyDesk e verificare quali utenti dispongono di privilegi sufficienti a creare junction NTFS; valutare la disabilitazione della funzione Send Support Information dove non essenziale per le operazioni; monitorare i log di sistema per operazioni di creazione file anomale da parte del servizio AnyDesk; rivedere le policy di accesso locale per ridurre la superficie di attacco da account a basso privilegio.

La valutazione del rischio richiede inoltre identificare quali endpoint eseguono il software e con quali privilegi opera il servizio Send Support Information. La priorità deve essere data ai sistemi critici e a quelli esposti a scenari di compromissione locale.

Limiti e contesto tecnico

Il dossier non specifica versioni interessate né fornisce indicazioni operative dal vendor. La fonte non documenta se esistano exploit pubblici o attacchi in-the-wild. Il sistema operativo presupposto è Windows, dato il riferimento ai junction NTFS, ma l'advisory non lo esplicita.

Non è chiaro se TrendAI Vision One o altre soluzioni dell'ecosistema forniscano rilevamento dedicato per questa tecnica. L'advisory non menziona prodotti di rilevamento o contromisure automatiche.

Per le organizzazioni che impiegano AnyDesk, la zero-day introduce un vettore locale non patchabile attraverso il ciclo normale di aggiornamento del vendor. La valutazione del rischio richiede mappare quali endpoint eseguono il software e con quali privilegi opera il servizio Send Support Information.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. zerodayinitiative.com