Vulnerabilità critica Microsoft 365: cos'è e come proteggerti subito

Vulnerabilità critica Microsoft 365: cos’è e come proteggerti subito

Vulnerabilità critica Microsoft 365: cos’è e come proteggerti subito

Se utilizzi programmi come **Microsoft 365**, **Excel** o **Office** per lavoro o nella vita quotidiana, è fondamentale sapere che esiste una **vulnerabilità di sicurezza critica** che può essere sfruttata da hacker tramite un semplice file Excel inviato via email. La soluzione immediata è **non aprire mai file Excel da mittenti sconosciuti** e **aggiornare immediatamente** il tuo software alle versioni più recenti fornite da Microsoft. Questa guida ti spiega in modo chiaro cosa sta accadendo e come tutelare i tuoi dati.

Microsoft ha ufficialmente comunicato la presenza di una grave vulnerabilità nel suo ecosistema Office, classificata come **esecuzione remota di codice (RCE)**. Questo significa che un attaccante può eseguire comandi arbitrari sul tuo computer, potenzialmente prendendo il controllo completo del sistema, semplicemente se tu apri un file Excel malevolo. La vulnerabilità, identificata con il codice **CVE-2025-60727**, colpisce diverse versioni di Microsoft Office, inclusi i prodotti più recenti come **Microsoft 365 Apps**, **Office 2019**, **Office LTSC 2021** e **Office LTSC 2024**, oltre a **Excel 2016** e **Office Online Server**.

Il rischio è particolarmente elevato perché questa vulnerabilità è spesso utilizzata nelle campagne di **phishing**, una tecnica in cui gli hacker inviano email che sembrano provenire da fonti legittime (come un’azienda, un fornitore o un collega) per ingannare l’utente. L’allegato potrebbe essere presentato come un report aziendale, una fattura o un documento importante, ma in realtà contiene un codice dannoso progettato per sfruttare la vulnerabilità. Poiché l’attacco non richiede privilegi di amministratore o autenticazione pregressa, chiunque apre il file è vulnerabile, rendendo questa una minaccia molto efficace per gli attaccanti.

La causa principale di questo problema tecnico risiede in una **validazione insufficiente** dei valori di lunghezza e offset durante l’analisi dei file Excel. Quando Excel tenta di processare un file strutturato male (malformato), legge dati oltre i limiti della memoria allocata, un fenomeno noto come **out-of-bounds read**. Questo errore di gestione della memoria permette all’attaccante di manipolare il flusso di esecuzione del programma, iniettando e eseguendo codice arbitrario. Il risultato è che l’attaccante ottiene lo stesso livello di accesso dell’utente corrente, che può includere dati sensibili, file aziendali e accesso a altri sistemi di rete.

In ambienti aziendali, questa vulnerabilità può essere utilizzata come punto di partenza per movimenti laterali nella rete, permettendo agli hacker di compromettere altri computer e server. L’unico modo per attivare la vulnerabilità è l’interazione dell’utente: è necessario aprire il file Excel. Tuttavia, una volta aperto, il codice malevolo può essere eseguito in background senza che l’utente ne sia necessariamente consapevole, fino al momento in cui si notano comportamenti anomali del sistema, come processi Excel che spawnano shell di comando o connessioni di rete inspiegabili.

Microsoft ha già rilasciato aggiornamenti di sicurezza per correggere questa vulnerabilità. È quindi **imperativo applicare subito le patch** fornite. Per gli utenti di Microsoft 365, l’aggiornamento avviene automaticamente tramite il canale Click-to-Run, ma è consigliabile verificare manualmente che l’ultima versione sia installata. Per le versioni standalone di Office, è necessario scaricare e installare l’aggiornamento specifico dal sito ufficiale di Microsoft. Oltre all’aggiornamento, le migliori pratiche di sicurezza includono l’attivazione della **Visualizzazione Protetta (Protected View)** per tutti i file provenienti da fonti esterne, il blocco delle macro e l’uso di regole di riduzione della superficie di attacco (Attack Surface Reduction) per limitare l’esecuzione di file non fidati.

Technical Deep Dive

Per gli professionisti della sicurezza informatica e i tecnici, è essenziale analizzare i dettagli tecnici della vulnerabilità **CVE-2025-60727** (nota anche come vulnerabilità di tipo confusion in alcuni contesti correlati, sebbene qui identificata come out-of-bounds read). La vulnerabilità è classificata sotto **CWE-125** (Out-of-bounds Read), che indica una lettura di memoria oltre i limiti previsti del buffer. Questo errore si manifesta nel modulo di parsing di Microsoft Excel, che gestisce la struttura interna dei file .xlsx o .xls.

Quando un file Excel malevolo viene aperto, il parser tenta di leggere dati di lunghezza e offset specifici. Se questi valori non sono validati correttamente, il processo legge dati da indirizzi di memoria non assegnati o protetti. Questo comportamento permette all’attaccante di controllare il contenuto della memoria leggibile, sfruttando la **corruzione della memoria** per manipolare il flusso di controllo del programma. In particolare, l’attaccante può inserire istruzioni macchina che, una volta eseguite, prendono il controllo dell’istanza di Excel, eseguendo codice arbitrario nel contesto dell’utente corrente.

La vulnerabilità colpisce un’ampia gamma di prodotti Microsoft, inclusi:

  • **Microsoft 365 Apps** (Enterprise, x64 e x86)
  • **Microsoft Excel 2016**
  • **Microsoft Office 2019**
  • **Office LTSC 2021** e **Office LTSC 2024**
  • **Office Online Server**

L’esploitazione richiede l’interazione dell’utente, tipicamente l’apertura di un documento Excel modificato. Non è necessaria autenticazione o privilegi elevati, rendendo l’attacco particolarmente pericoloso in scenari di phishing. Una volta eseguita con successo, l’attaccante ottiene l’esecuzione del codice nel contesto dell’utente, consentendo azioni come la **furto di dati**, l’installazione di **malware secondario**, la creazione di meccanismi di **persistenza** e il **compromissione completa del sistema**.

In termini di mitigazione tecnica, le organizzazioni devono:

  • Applicare gli aggiornamenti di sicurezza Microsoft riferiti al CVE-2025-60727 su tutti i canali Office.
  • Inventariare tutti i host che eseguono le versioni vulnerabili e verificare lo stato di deployment delle patch.
  • Implementare la **Visualizzazione Protetta (Protected View)** e il **blocco delle macro** da Internet tramite Group Policy per tutti gli utenti Office.
  • Limitare l’esecuzione di fogli di calcolo ricevuti da mittenti esterni fino all’applicazione della patch.
  • Disabilitare i controlli ActiveX e l’Object Linking and Embedding (OLE) se i flussi di lavoro aziendali lo consentono.
  • Utilizzare **Microsoft Defender Application Guard** per Office per isolare i documenti non fidati dal sistema operativo host.

Le soluzioni di Workaround includono l’apertura di file Excel non fidati solo in Visualizzazione Protetta, senza modifica, fino alla verifica della fonte. Inoltre, l’uso di regole di riduzione della superficie di attacco (ASR) per bloccare l’esecuzione di file Excel da fonti sconosciute è una misura efficace. Le organizzazioni dovrebbero anche monitorare i comportamenti anomali di Excel, come la generazione di processi child inaspettati (shell di comando, motori di scripting) o connessioni di rete outbound insolite subito dopo l’apertura di un documento.

La vulnerabilità è stata pubblicata per la prima volta nel National Vulnerability Database il 11 novembre 2025 e aggiornata il 17 giugno 2026. Sebbene non ci siano attualmente report pubblici di exploit attivi, la tecnica si allinea con metodi di phishing e attacchi basati su documenti ben noti, rendendola un problema ad alto rischio che le organizzazioni non dovrebbero ignorare. La prevenzione richiede un approccio multilayered, combinando aggiornamenti tempestivi, configurazioni di sicurezza rigorose e formazione degli utenti sulla consapevolezza delle email malevole.

Fonte: https://cybersecuritynews.com/microsoft-365-apps-rce-vulnerability-exploit/

Torna in alto