Una minaccia seria per milioni di utenti
Il 10 marzo 2026, Microsoft ha annunciato una vulnerabilità critica che interessa milioni di utenti in tutto il mondo. Se utilizzi Microsoft Office su Windows, Mac o Android, questo articolo ti riguarda. La buona notizia è semplice: scarica e installa gli ultimi aggiornamenti di sicurezza di Microsoft il prima possibile. Se non puoi farlo immediatamente, disabilita la funzione Anteprima nel tuo file manager come misura temporanea. Continua a leggere per capire cosa è successo e perché questa vulnerabilità è importante.
Cos’è CVE-2026-26110?
CVE-2026-26110 è una falla di sicurezza seria in Microsoft Office che consente a persone non autorizzate di eseguire codice dannoso sul tuo computer. Microsoft ha assegnato a questa vulnerabilità una valutazione di gravità alta con un punteggio CVSS di 8.4 su 10, il che significa che rappresenta una minaccia significativa per la sicurezza.
La vulnerabilità è stata scoperta da un ricercatore anonimo che l’ha segnalata responsabilmente a Microsoft. Fortunatamente, al momento della pubblicazione, non ci sono prove che questa falla sia stata effettivamente sfruttata dagli attaccanti in modo diffuso, il che dà agli utenti una finestra critica per applicare gli aggiornamenti.
Come funziona l’attacco?
La falla è causata da un problema tecnico noto come “confusione di tipo” (type confusion). In termini semplici, accade quando il software tenta di accedere a una risorsa di un tipo usando le proprietà di un tipo diverso. Questo crea errori logici che gli attaccanti possono sfruttare per eseguire comandi non autorizzati sul tuo sistema.
Ciò che rende questa vulnerabilità particolarmente preoccupante è il vettore di attacco attraverso l’Anteprima dei file. Normalmente, potresti pensare di essere al sicuro se non apri un file sospetto. Con questa vulnerabilità, non è nemmeno necessario fare doppio clic su un documento dannoso. Semplicemente evidenziando un file e visualizzandolo nel riquadro di anteprima di Windows, un attaccante potrebbe compromettere il tuo sistema.
Quali prodotti sono interessati?
La vulnerabilità colpisce una vasta gamma di prodotti Microsoft:
- Microsoft Office 2016 e 2019 (edizioni a 32 e 64 bit)
- Microsoft 365 Apps for Enterprise (edizioni a 32 e 64 bit)
- Microsoft Office LTSC 2021 e 2024 (edizioni Windows e Mac)
- Microsoft Office per Android
Se utilizzi uno di questi prodotti, sei potenzialmente a rischio e dovresti applicare gli aggiornamenti il prima possibile.
Cosa puoi fare per proteggerti?
Soluzione immediata: installa gli aggiornamenti
La soluzione più efficace è installare immediatamente gli aggiornamenti di sicurezza rilasciati da Microsoft il 10 marzo 2026. Ecco come:
Per Windows: Accedi alle Impostazioni di Windows, vai a “Aggiornamento e sicurezza” e controlla gli aggiornamenti disponibili. In alternativa, visita il sito di download di Microsoft per scaricare manualmente l’aggiornamento KB5002838 per Office 2016.
Per Mac: Aggiorna il tuo Office tramite il menu “Guida” > “Controlla aggiornamenti” in qualsiasi applicazione Office.
Per Android: Apri il Google Play Store e aggiorna l’app Microsoft Office all’ultima versione disponibile.
Misura temporanea: disabilita l’Anteprima
Se non puoi installare gli aggiornamenti immediatamente, puoi disabilitare il riquadro di anteprima in Esplora file di Windows per eliminare il vettore di attacco più accessibile. Ecco come:
- Apri Esplora file
- Fai clic su “Visualizza” nella barra multifunzione
- Fai clic su “Riquadro di anteprima” per disattivarlo
Questa è una soluzione temporanea che riduce il rischio mentre aspetti di poter installare gli aggiornamenti ufficiali.
Perché “Esecuzione di codice remoto” se l’attacco è locale?
Potresti aver notato che Microsoft chiama questa vulnerabilità “Esecuzione di codice remoto” (RCE), ma abbiamo detto che l’attacco è locale. Questo potrebbe sembrare confuso, ma c’è una spiegazione logica.
Quando Microsoft usa il termine “remoto”, si riferisce alla posizione dell’attaccante, non al metodo di distribuzione del codice. L’attaccante si trova in una posizione remota, ma il codice deve essere eseguito localmente sul tuo dispositivo. Questo significa che qualcuno (l’attaccante o una vittima inconsapevole) deve attivare il payload dal tuo computer locale.
Qual è il rischio reale?
Secondo Microsoft, il rischio di sfruttamento futuro è considerato “meno probabile”. Questo perché:
- Non ci sono prove pubbliche di codice di exploit funzionante
- Non ci sono attacchi noti in corso nel mondo reale
- La vulnerabilità è stata divulgata responsabilmente
- Microsoft ha già fornito patch per tutti i prodotti interessati
Tuttavia, non dovresti aspettare per aggiornare il tuo sistema. I difensori hanno una finestra critica per applicare gli aggiornamenti prima che questa situazione possa cambiare.
Technical Deep Dive
Per gli utenti più esperti, ecco i dettagli tecnici di CVE-2026-26110:
La vulnerabilità è classificata come CWE-843 (Accesso a risorsa utilizzando un tipo incompatibile). Questo tipo di falla si verifica quando il software alloca o inizializza una risorsa (come un puntatore, un oggetto o una variabile) di un tipo specifico, ma successivamente tenta di accedervi utilizzando un tipo diverso e incompatibile.
Quando una risorsa non ha le proprietà previste, ciò comporta errori logici e accessi alla memoria fuori dai limiti (out-of-bounds memory access). Gli attaccanti possono sfruttare la gestione impropria dei tipi per:
- Bypassare le restrizioni intenzionali del software
- Accedere a regioni di memoria non previste
- Eseguire comandi non autorizzati sul sistema target
Il vettore di attacco attraverso il riquadro di anteprima di Windows è particolarmente significativo perché la gestione dei file nel riquadro di anteprima comporta l’elaborazione di documenti Office senza l’intervento completo dell’utente. Questo consente allo sfruttamento di verificarsi senza interazione diretta dell’utente (UI:N nel vettore CVSS v3.1: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Microsoft ha fornito patch specifiche per ogni versione del prodotto interessato. Per Office 2016 basato su MSI, l’aggiornamento KB5002838 sostituisce il precedente KB5002826. Gli hash SHA256 dei file di aggiornamento sono disponibili nella documentazione ufficiale di Microsoft per la verifica dell’integrità.
Per ambienti enterprise, si consiglia di testare gli aggiornamenti in un ambiente di staging prima della distribuzione in produzione, anche se il rischio di regressione è minimo. Gli amministratori IT dovrebbero prioritizzare il patching dei sistemi che espongono il riquadro di anteprima in ambienti multi-utente o che gestiscono documenti da fonti esterne non attendibili.
Fonte: https://cybersecuritynews.com/microsoft-office-vulnerability-enables-rce-attack/
