Usi Microsoft Office Aggiorna Subito per la Vulnerabilità CVE-2026-21509

Usi Microsoft Office? Aggiorna Subito per la Vulnerabilità CVE-2026-21509

Scritto da Alvise C. 0 commenti 0 Guarda 2 minutes Leggi

Microsoft ha pubblicato un avviso di sicurezza critico riguardante una vulnerabilità zero-day in Microsoft Office, identificata come CVE-2026-21509, che risulta attivamente sfruttata in attacchi reali. Il problema riguarda un meccanismo di sicurezza di Office che può essere aggirato, consentendo l’esecuzione di contenuti potenzialmente pericolosi all’interno di documenti apparentemente legittimi.

La vulnerabilità è classificata come Security Feature Bypass e nasce dal modo in cui Microsoft Office gestisce input non attendibili nel processo decisionale di sicurezza. In determinate condizioni, un file Office appositamente creato può eludere i controlli progettati per bloccare componenti OLE o COM non sicuri, esponendo il sistema a comportamenti imprevisti e potenzialmente dannosi.

Secondo Microsoft, l’exploit richiede l’interazione dell’utente, che deve aprire un documento malevolo. Tuttavia, il fatto che la vulnerabilità sia già sfruttata “in the wild” aumenta notevolmente il livello di rischio. Il punteggio CVSS è pari a 7.8 (High), indicando un impatto significativo sulla sicurezza dei sistemi coinvolti.

Versioni di Office interessate

CVE-2026-21509 interessa numerose versioni di Microsoft Office ancora ampiamente utilizzate, tra cui:

Questo rende la superficie di attacco particolarmente ampia, sia in ambito aziendale che domestico.

Aggiornamenti e mitigazioni

Microsoft ha rilasciato aggiornamenti di sicurezza urgenti per risolvere il problema. Per le versioni più recenti di Office, come Microsoft 365 Apps e le edizioni LTSC, la protezione viene applicata tramite una modifica lato servizio, ma è necessario riavviare le applicazioni Office affinché la correzione diventi effettiva.

Per Office 2016 e Office 2019, invece, è indispensabile installare manualmente gli aggiornamenti di sicurezza forniti tramite Windows Update o i canali ufficiali Microsoft.

La vulnerabilità è stata inoltre inserita nel catalogo CISA Known Exploited Vulnerabilities (KEV), confermando che l’exploit è reale e attivamente utilizzato. Le organizzazioni soggette a obblighi di sicurezza devono quindi intervenire entro le scadenze stabilite.

Raccomandazioni di sicurezza

In attesa dell’applicazione completa delle patch, Microsoft consiglia di evitare l’apertura di documenti Office provenienti da fonti non affidabili, rafforzare i controlli di posta elettronica e mantenere sempre aggiornati sia Windows sia le applicazioni Office.

Conclusione

La vulnerabilità CVE-2026-21509 rappresenta una minaccia concreta per gli utenti Microsoft Office, poiché consente di aggirare importanti meccanismi di protezione ed è già sfruttata in attacchi reali. L’installazione immediata degli aggiornamenti di sicurezza e una maggiore attenzione nella gestione dei documenti ricevuti sono fondamentali per ridurre il rischio di compromissione.

Potresti Leggere:
0 commenti 0 FacebookTwitterLinkedinRedditWhatsappTelegramEmail
Add new comment

Lascia un commento

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 fino al 2021 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. Moderatore nelle piattaforme Microsoft Learn e Consulente indipendente Microsoft. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue. Per info: [email protected] Iscriviti su LinkedIn alla mia newsletter https://www.linkedin.com/build-relation/newsletter-follow?entityUrn=7019043583668187136