Attenzione: una vulnerabilità critica in Microsoft Excel sta mettendo a rischio i tuoi dati. Questa falla sfrutta la funzione Copilot Agent per rubare informazioni sensibili come dati personali e finanziari senza che l’utente debba fare clic o interagire. La soluzione rapida è installare immediatamente gli aggiornamenti di sicurezza Microsoft disponibili nel Patch Tuesday di marzo. In questo modo proteggi i tuoi file Excel da attacchi silenti che potrebbero esfiltrare contenuti confidenziali.
Microsoft ha rilasciato una serie di correzioni per ben 83 vulnerabilità, tra cui otto classificate come critiche. Questa onda di aggiornamenti arriva dopo un febbraio intenso con zero-day sfruttate attivamente. Se gestisci ambienti aziendali con fogli Excel contenenti dati delicati, non rimandare l’aggiornamento: i file Office sono tra i vettori più comuni per attacchi informatici.
Perché questa vulnerabilità è pericolosa
La falla principale, identificata come CVE-2026-26144, è un problema di divulgazione di informazioni di severità critica in Excel. Si tratta di un difetto di tipo cross-site scripting che trasforma un semplice foglio Excel in un’arma per attacchi zero-click. L’attaccante invia un file Excel apparentemente innocuo: aprirlo attiva Copilot Agent, che invia i dati sensibili verso server remoti senza che l’utente se ne accorga.
Non serve privilegio elevato né interazione: basta accesso di rete. In contesti aziendali, dove Excel custodisce report finanziari, proprietà intellettuale o registri operativi, il rischio è altissimo. Gli aggressori possono estrarre dati interni senza attivare allarmi, rendendo l’attacco stealth e difficile da rilevare.
Se non puoi applicare la patch subito, adotta misure provvisorie:
- Restringi il traffico di rete in uscita dalle applicazioni Office.
- Monitora richieste di rete insolite generate da processi Excel.
- Disabilita o limita Copilot Agent fino all’aggiornamento.
Queste precauzioni riducono drasticamente il rischio mentre prepari il deployment della patch.
Altre vulnerabilità critiche da non ignorare
Tra le altre falle critiche, due colpiscono Office e permettono esecuzione di codice remoto tramite il pannello di anteprima. Non serve aprire completamente il file malevolo: visualizzarlo basta per compromettere il sistema.
- CVE-2026-26110: Un errore di confusione di tipi in Microsoft Office consente a un attaccante remoto di eseguire codice sul tuo PC. Succede quando l’app accede a risorse con tipi di dati incompatibili, causando gestione errata della memoria.
- CVE-2026-26113: Difetto di dereferenziazione di puntatori non fidati in Office, che permette manipolazione della memoria e esecuzione remota di codice.
Queste vulnerabilità stanno diventando comuni negli ultimi mesi. Il pannello di anteprima, comodo per sfogliare documenti, si trasforma in una porta d’ingresso per i criminali. Disabilitalo temporaneamente se usi email o cartelle condivise con allegati sospetti.
Ci sono anche due CVE note pubblicamente ma non attivamente sfruttate:
- CVE-2026-26127: Lettura fuori limite in .NET, che causa denial of service via rete.
- CVE-2026-21262: Controllo accesso improprio in SQL Server, per elevazione privilegi.
Microsoft le considera a basso rischio di sfruttamento immediato, ma applica comunque le patch per una sicurezza completa.
Copilot Agent: opportunità e rischi
Copilot Agent è una funzione AI di Excel integrata in Microsoft 365 Copilot, progettata per automatizzare compiti come correggere formule o analizzare dati. Ora disponibile su Windows, macOS e web, usa modelli come GPT o Claude per editing autonomo. Include ricerca web per dati aggiornati e non richiede più AutoSave o OneDrive per file locali.
Tuttavia, questa innovazione porta rischi: la vulnerabilità CVE-2026-26144 dimostra come l’AI possa essere weaponizzata per esfiltrare dati. Ricorda di verificare sempre i prompt e i file prima di attivare Agent, specialmente in ambienti sensibili.
Per usarlo al meglio:
- Struttura i dati in tabelle chiare con intestazioni precise.
- Evita celle unite o formati inconsistenti.
- Usa intervalli nominati per migliorare l’accuratezza delle risposte AI.
Consigli pratici per la sicurezza
Per proteggere la tua organizzazione:
- Priorità alle patch: Usa tool di gestione come WSUS o Intune per deploy rapidi.
- Implementa least privilege: limita accessi di rete per Office.
- Addestra gli utenti: insegna a non aprire allegati da fonti non fidate.
- Monitora log: cerca traffico anomalo da Excel.exe.
Queste pratiche riducono l’esposizione a zero-click e anteprima exploits.
Approfondimento tecnico
Approfondimento tecnico per esperti IT e amministratori di sistema.
La CVE-2026-26144 è un XSS che forza Copilot Agent a eseguire egress di rete non autorizzato. L’exploit sfrutta il rendering di script malevoli in Excel, attivando Agent per inviare dati via HTTP/HTTPS a server controllati dall’attaccante. Impatto: divulgazione zero-click senza elevazione. Richiede connettività, ma bypassa sandbox Office grazie all’integrazione AI.
Per CVE-2026-26110 (type confusion): l’app interpreta un tipo errato, portando a corruzione heap. PoC tipici usano oggetti JavaScript-like embeddati in OLE per trigger via Preview Pane. Mitigazione: disabilita anteprima con registro HKCU\Software\Microsoft\Office\16.0\Common\Security\DisablePreviewPane DWORD=1.
CVE-2026-26113 (untrusted pointer dereference): Office dereferenzia puntatori controllati dall’utente durante parsing, permettendo RCE. Analisi disassembly rivela flaw in handler memoria di RTFFilter.
Per tutti i CVE, consulta bulletin Microsoft Security Update Guide. Testa patch in staging: verifica regressioni su macro VBA o add-in. Usa EDR per rilevare comportamenti post-exploit, come injection in Excel processes.
Statistiche: su 83 CVE, 8 critical, 2 pubbliche. Trend: +30% RCE Office via preview nell’ultimo anno. Previsione: attacchi AI-driven cresceranno con adozione Copilot.
Implementa policy GPO per auto-update Office e blocca egress non autorizzato via proxy. Per ambienti air-gapped, isola Excel da rete.
Questa analisi si basa su dettagli tecnici ufficiali, fornendo insights per hardening proattivo. Mantieni sistemi aggiornati per contrastare minacce evolute.
