Microsoft ha corretto una vulnerabilità critica nel Blocco note di Windows 11 che permetteva l’esecuzione silenziosa di programmi tramite link Markdown malevoli. Non preoccuparti: la patch è già disponibile e si installa automaticamente. Apri il Microsoft Store, verifica gli aggiornamenti e sei protetto in pochi minuti.
Blocco note è quell’app semplice che usi ogni giorno per annotare idee, liste della spesa o modifiche rapide a file di testo. Con Windows 11, Microsoft l’ha potenziata aggiungendo supporto per Markdown, un formato che rende i testi più leggibili con grassetto, link cliccabili e liste. Ma questa innovazione ha aperto una porta a rischi: un file .md appositamente creato poteva ingannare l’utente facendogli cliccare un link che lanciava programmi locali o remoti, senza alcun avviso di sicurezza.
Immagina di aprire un file di note ricevuto via email o download: un link innocuo si trasforma in un’esecuzione di codice con i tuoi permessi utente. Se sei amministratore, l’attaccante ottiene controllo totale. La buona notizia? Tutto risolto con gli aggiornamenti di febbraio 2026.
Come funzionava il problema
Il Blocco note moderno interpreta i file Markdown (.md), che usano simboli semplici per formattare testo:
- Testo in grassetto
- Link esempio
Un malintenzionato creava un file con link come file://percorso/eseguibile.exe o protocolli speciali come ms-appinstaller://. In modalità Markdown, il link appare cliccabile. Con Ctrl+clic, partiva l’esecuzione senza pop-up di Windows UAC o avvisi.
Questo valeva per versioni fino a 11.2510. Ora, Notepad mostra un dialogo di conferma per link non-http/https, bloccando sorprese.
Soluzione immediata:
- Apri Microsoft Store.
- Cerca Blocco note.
- Aggiorna.
Windows 11 gestisce gli update automatici, ma verifica manualmente per sicurezza.
Perché è successo e lezioni apprese
Blocco note nasce con Windows 1.0 come editor basico. WordPad gestiva RTF con formati ricchi, ma Microsoft l’ha eliminato in Windows 11, evolvendo Notepad. Ora supporta Markdown, tabelle, Copilot e altro, diventando un tool versatile.
L’ironia: le nuove feature, pensate per migliorare l’esperienza, hanno introdotto la falla CVE-2026-20841, un command injection (iniezione di comandi). Notepad non neutralizzava elementi speciali nei link, permettendo protocolli non verificati come file:// o SMB remoti.
Esperti di sicurezza hanno dimostrato exploit rapidi: un file .md con link a prompt dei comandi o installer si attivava con un clic. Social engineering amplificava il rischio, fingendo note innocue.
Microsoft classifica la vulnerabilità alta (CVSS 8.8), sfruttabile via network con interazione utente minima.
Impatto e diffusione
Non zero-day, ma scoperta da ricercatori e fixata in Patch Tuesday febbraio 2026, tra 58 update inclusi 6 zero-day. Coinvolge solo Notepad moderno dal Microsoft Store, non versioni legacy.
Rischio reale per utenti Windows 11: email phishing, download da siti non fidati o condivisioni SMB. Attaccanti potevano distribuire malware camuffato da note.
Ora, con la patch:
- Link http/https aprono normalmente.
- Altri protocolli (file:, ms-settings:, mailto:) richiedono conferma.
Resta un punto debole: social engineering può spingere a cliccare “Sì”. Usa cautela con file .md da fonti ignote.
Consigli pratici per utenti
- Aggiorna sempre: Abilita update automatici in Impostazioni > Windows Update > Opzioni avanzate.
- Evita Markdown sospetti: apri .md in browser o editor alternativi come VS Code.
- Proteggioni extra: antivirus con rilevamento comportamentale, filtri email per allegati .md.
- Non eseguire come admin: usa account standard.
Per famiglie o uffici, educa su pericoli di clic casuali.
Evoluzione di Blocco note
Da tool minimalista a editor moderno: supporto RTF, temi scuri, ricerca tab, integrazione AI. Ma complessità porta rischi, come visto.
Alternative sicure: Notepad++, Vim, Sublime Text per power user.
Approfondimento tecnico
Meccanismo della vulnerabilità
CVE-2026-20841 è un improper neutralization of special elements in command (CWE-77). In Markdown rendering, Notepad parsava link URI senza sanitizzazione:
[Clicca qui](file:///C:/Windows/System32/cmd.exe)
Ctrl+clic invocava shell handler, eseguendo senza check. Protocolli come ms-appinstaller:// bypassavano protezioni.
Exploit chain:
- Victim apre .md in Notepad 11.2510+.
- Visualizza in Markdown mode (predefinito).
- Ctrl+clic link malevolo.
- Esecuzione con privilegi user, potenzialmente admin.
Vector remoti: SMB shares (\\server\share\malware.exe), download impliciti.
Patch analysis
Update febbraio 2026 aggiunge protocollo check:
- Whitelist: http(s)://
- Blacklist/dialog: file://, ms-*, mailto://
Dialogo: “Aprire [URI]? Sì/No”.
Non blocca del tutto: possibile bypass via engineering, ma rompe chain automatica.
CVSS breakdown
| Metric | Score | Descrizione |
|---|---|---|
| Attack Vector | Network | Remoto via file condiviso |
| Attack Complexity | Low | Solo clic |
| Privileges Required | None | User interaction |
| User Interaction | Required | Clic |
| Scope | Unchanged | Stesso processo |
| Confidentiality | High | Leak dati |
| Integrity | High | Modifica |
| Availability | High | DoS |
Totale: 8.8/10.
Mitigazioni avanzate
- Registry tweak: Disabilita Markdown rendering (non ufficiale).
- EDR tools: Monitora Notepad.exe child processes.
- Group Policy: Blocca .md association a Notepad.
- Sandbox: Esegui Notepad in Windows Sandbox.
Per dev: Sanitizza Markdown con librerie come marked.js + DOMPurify.
Test PoC (non eseguire!)
File test.md:
# Note
[Avvia cmd](file:///C:/Windows/System32/cmd.exe "Esegui")
Pre-patch: Ctrl+clic lancia cmd. Post-patch: warning.
Ricerca hanno amplificato awareness su X/Twitter, con PoC in ore.
Questa falla ricorda: modernizzazione ≠ sicurezza. Microsoft deve bilanciare feature e hardening.
Per sysadmin: Audit log eventi 4688 (process creation) filtrati per notepad.exe.
In conclusione tecnica, monitora MSRC per CVE simili. Notepad evolve, ma resta vettore da watchlist.
