Sintesi iniziale
Nelle ultime ore sono state segnalate numerose vulnerabilità critiche nei prodotti Microsoft, in particolare nella suite Office. Queste falle possono consentire a malintenzionati di eseguire codici dannosi e compromettere i dati degli utenti o delle aziende. È quindi essenziale installare subito gli aggiornamenti di sicurezza, evitare di aprire allegati sospetti e utilizzare account limitati per ridurre i rischi. In questa guida, spiegheremo nel dettaglio cosa sta succedendo, quali sono i rischi concreti e quali azioni immediate e avanzate adottare per proteggersi efficacemente.
Le vulnerabilità scoperte: il panorama
Il Patch Tuesday di settembre 2025 ha portato alla luce oltre 80 falle di sicurezza nei prodotti Microsoft, di cui diverse considerate “critiche”. Tra queste spiccano vulnerabilità che interessano Office, come Excel, Word, PowerPoint e Outlook, ma anche SharePoint e componenti fondamentali di Windows e servizi cloud come Azure. Alcune delle falle più gravi possono consentire attacchi di tipo Remote Code Execution (RCE) – ossia l’esecuzione remota di codice arbitrario sui dispositivi delle vittime senza che queste se ne accorgano.
Tipi di vulnerabilità segnalate
Secondo le analisi indipendenti di ricercatori internazionali, sono stati individuati:
- 41 vulnerabilità di elevazione dei privilegi
- 22 vulnerabilità di esecuzione remota del codice
- 16 problemi di divulgazione non autorizzata di informazioni
- 9 vulnerabilità classificate come “critiche”
- Diverse vulnerabilità che interessano direttamente i documenti Office e la loro anteprima via Outlook
Il caso Office: i dettagli sulle criticità
CVE più rilevanti
Tra le vulnerabilità è stata evidenziata la CVE-2025-54910 che interessa direttamente Microsoft Office. Questa grave falla sfrutta un errore di tipo heap-based buffer overflow. Un attaccante, inducendo la vittima ad aprire un file Office malevolo (o anche solo a visualizzarne l’anteprima in Outlook), può eseguire codice arbitrario sul sistema bersaglio, con tutti i privilegi dell’utente corrente.
Tale vulnerabilità è classificata con un punteggio CVSS di 8.4 su 10, tra le più alte nella scala di gravità, e colpisce la maggior parte delle installazioni Office, incluse le versioni più recenti. Il rischio è elevato soprattutto per chi utilizza account con privilegi amministrativi: in questi casi l’attaccante può installare programmi, accedere a dati sensibili, oppure compromettere completamente l’infrastruttura aziendale.
Altre vulnerabilità di rilievo riguardano:
- CVE-2025-54897: interessa SharePoint e permette a utenti autenticati di eseguire codice arbitrario sui server vulnerabili.
- CVE-2025-55232: coinvolge il pacchetto High Performance Computing di Microsoft e consente attacchi remoti anche senza autenticazione.
Modalità di attacco
Gli attori malevoli, sfruttando queste vulnerabilità, possono:
- Inviare email con file Office manipolati che, se aperti (o anche solo visualizzati nell’anteprima), compromettono il PC della vittima.
- Sfruttare falle nei servizi di condivisione e collaborazione aziendale per accedere ai dati e propagarsi nella rete.
- Ottenere l’accesso amministrativo tramite l’elevazione dei privilegi, prendendo il controllo completo delle macchine vulnerabili.
Nel momento in cui scriviamo non sono stati ancora registrati attacchi reali sfruttanti queste vulnerabilità, ma la finestra di esposizione è critica perché i dettagli sono di pubblico dominio e potrebbero essere rapidamente utilizzati da gruppi cybercriminali.
Dispositivi e sistemi interessati
La lista delle piattaforme coinvolte è ampia e include:
- Microsoft Office (Word, Excel, PowerPoint, Outlook, Visio, SharePoint, Access sia per Windows che per Mac)
- Windows 10 e Windows 11, con tutti i servizi accessori come PowerShell, LSASS, NTFS, Defender Firewall Service, TCP/IP
- Componenti di Azure e SQL Server
- Servizi e driver di sistema come Bluetooth, Hyper-V, MapUrlToZone e SMB
Le aziende che usano SharePoint, ambienti Azure o infrastrutture cloud ibride risultano particolarmente esposte.
Consigli e azioni immediate (semplici)
Ecco i passi fondamentali che tutti gli utenti e gli amministratori dovrebbero seguire subito:
- Aggiornare immediatamente Microsoft Office e il sistema operativo tramite Windows Update o strumenti di gestione delle patch centralizzati.
- Non aprire email o allegati sospetti provenienti da mittenti sconosciuti, soprattutto se contengono file Word, Excel, PowerPoint o Visio.
- Usare account limitati e non amministrativi per le attività di routine, così da ridurre la superficie d’attacco.
- Abilitare e mantenere aggiornati antivirus e sistemi di protezione endpoint.
- Monitorare costantemente i bollettini Microsoft e le news di sicurezza per adottare tempestivamente nuove misure raccomandate.
Perché è importante aggiornare subito?
L’esperienza degli ultimi anni insegna che dopo la pubblicazione di patch ufficiali cresce rapidamente il numero di tentativi di attacco. Questo perché i dettagli tecnici delle vulnerabilità vengono resi pubblici, facilitando la creazione di exploit anche da parte di cybercriminali meno esperti.
Un aggiornamento tempestivo spesso rappresenta l’unica barriera efficace, soprattutto in aziende dove i documenti Office circolano tra diversi livelli di utenti e partner esterni o in ambienti condivisi come SharePoint e Teams.
Approfondimento: analisi delle vulnerabilità più rilevanti
CVE-2025-54910 (Office – Remote Code Execution)
Questa vulnerabilità interessa tutte le versioni supportate di Office, inclusi Office 365 e le versioni LTSC per Mac e Windows (per queste ultime, le patch sono in fase di distribuzione). L’exploit si basa su buffer overflow nella gestione dei file Office. Un’email mirata o un documento condiviso via cloud possono scatenare la compromissione semplicemente previsualizzando il file.
CVE-2025-54897 (SharePoint – Remote Code Execution)
Permette a un utente autenticato (senza privilegi elevati) di caricare e far eseguire codice sul server SharePoint, creando una catena che può portare all’escalation dei privilegi e al furto di dati sensibili archiviati o condivisi.
CVE-2025-55232 (Microsoft HPC – Remote Code Execution)
Colpisce ambienti specializzati di calcolo ad alte prestazioni, più tipici in settori scientifici o grandi aziende. Permette l’esecuzione remota di codice da parte di un attaccante esterno, anche senza autenticazione, compromettendo l’intero cluster.
Come Microsoft sta affrontando la situazione
Microsoft ha pubblicato aggiornamenti correttivi e dettagli sulle vulnerabilità tramite il Microsoft Security Update Guide, invitando a installare le patch quanto prima. In alcuni casi (come Office LTSC per Mac), le patch sono pianificate a breve.
Secondo gli esperti, la rapida applicazione delle patch riduce sensibilmente il rischio ma non elimina la possibilità di tentativi di attacco su sistemi non aggiornati, siano essi domestici, aziendali o cloud.
Raccomandazioni avanzate e best practice
Per chi gestisce infrastrutture aziendali o si occupa di sicurezza informatica, ecco alcune misure avanzate per ridurre esponenzialmente i rischi:
- Implementare sistemi di gestione centralizzata delle patch (Patch Management) che consentano di automatizzare update e monitorare lo stato di sicurezza di tutti gli endpoint.
- Segmentare la rete per isolare i dispositivi critici e contenere eventuali compromissioni.
- Valutare restrizioni sulle macro e controlli avanzati sui documenti Office approvati, tramite strumenti come Microsoft Defender Office 365.
- Monitorare in tempo reale i log di sistema, SharePoint, Exchange e le piattaforme cloud, alla ricerca di attività sospette o inusuali.
- Formare costantemente il personale su phishing e truffe sociali, puntando sulla consapevolezza e il riconoscimento delle principali minacce.
- Stabilire procedure di risposta agli incidenti e simulare regolarmente scenari di attacco per verificare tempestività e efficacia della reazione aziendale.
L’aggiornamento regolare, la formazione e il monitoraggio sono le armi migliori per ridurre il rischio e garantire la resilienza della propria infrastruttura digitale.
