Blocco Note di Windows 11 vulnerabile: esecuzione di codice remoto con un clic su un file di testo!

La recente vulnerabilità CVE-2026-20841 scoperta nel Blocco Note di Windows 11, alias Notepad, mette bene in evidenza come anche componenti software apparentemente “semplici” possano trasformarsi in vettori di attacco. Il fatto è che Microsoft ha messo a segno un autogol di proporzioni galattiche: il Blocco Note di Windows 11 è infatti qualcosa di molto diverso rispetto allo storico Notepad. L’azienda di Redmond l’ha voluto farcire con funzionalità evolute che non avrebbero dovuto trovare posto in un software di sistema, così basilare, come dovrebbe essere il Blocco Note.

Per oltre 40 anni, Notepad ha rappresentato l’editor di testo minimale per eccellenza in ambiente Windows. La sua semplicità era parte integrante del modello di sicurezza: nessun parser complesso, nessun rendering avanzato, nessuna logica articolata oltre la mera visualizzazione di testo in chiaro. Con l’introduzione del supporto per Markdown, tabelle, formattazione avanzata e integrazione con funzionalità AI, l’applicazione ha assunto una natura radicalmente diversa.

La vulnerabilità CVE-2026-20841 dimostra in modo emblematico come l’aumento della superficie funzionale comporti inevitabilmente un aumento della superficie di attacco. Il problema, classificato con punteggio CVSS 3.1 pari a 8,8 (High), riguarda un caso di command injection che può consentire l’esecuzione di codice remoto attraverso un semplice file Markdown.

Meccanismo di sfruttamento della vulnerabilità nel Blocco Note

Scoperta e corretta da Microsoft con gli aggiornamenti per Windows 11 di febbraio 2026, la falla riguarda la versione moderna del Blocco Note, disponibile tramite Microsoft Store e integrata di default a livello di sistema operativo.

La vulnerabilità CVE-2026-20841 deriva da un’imperfezione nel codice dell’applicazione: durante l’elaborazione di link contenuti nei documenti Markdown caricati con il Blocco Note, gli eventi comandi in essi presenti non sono adeguatamente neutralizzati.

Così, quando un utente apre un file .md malevolo nell’app Notepad moderna e clicca su un collegamento, l’app può avviare comunicazioni su protocolli non verificati e richiamare risorse remote controllate dall’attaccante.

La catena di exploit richiede l’interazione dell’utente: il semplice clic su un link embedded attiva la richiesta di contenuti esterni; il payload remoto può quindi scaricare ed eseguire codice arbitrario con i privilegi dell’utente attualmente connesso. Qualora l’utente abbia diritti amministrativi, l’aggressore eredita potenzialmente lo stesso livello di accesso, abilitando l’installazione di software aggiuntivo, la modifica di impostazioni di sistema e l’accesso a dati personali o riservati.

È importante notare che la versione “legacy” di Notepad (notepad.exe storica) non risulta interessata dalla vulnerabilità; l’impatto riguarda esclusivamente l’app distribuita attraverso il Microsoft Store.

Aggiornamenti e mitigazioni tecniche

Microsoft ha rilasciato la correzione per la falla CVE-2026-20841 nel contesto dell’aggiornamento di sicurezza di febbraio 2026 (Patch Tuesday) e distribuito una nuova versione dell’app tramite il Microsoft Store. Per ricevere la correzione, gli utenti devono installare manualmente la versione aggiornata o abilitare gli aggiornamenti automatici delle app nelle impostazioni di Windows.

Suggeriamo di avviare Microsoft Store, cliccare sull’icona Download quindi su Controlla aggiornamenti disponibili e accertarsi che il Blocco Note passi alla build 11.2510 o superiore.

Dal punto di vista di governance IT, è consigliabile implementare controlli di aggiornamento centralizzati nelle infrastrutture enterprise, verificando che tutte le installazioni di Notepad moderne siano allineate alle build corrette.

Ulteriori mitigazioni includono la disabilitazione dell’apertura di file Markdown non verificati, l’adozione di filtri di sicurezza sulle e-mail per bloccare allegati .md sospetti e l’utilizzo di soluzioni di endpoint protection con rilevamento comportamentale per protocolli e handler non usuali.

L’incidente dimostra come la gestione di formati di documento apparentemente innocui possa introdurre rischi se non accompagnata da adeguate sanificazioni dell’input e controlli puntuali. In ambienti in cui il testo “arricchito” è sempre più comune, è fondamentale considerare le implicazioni di sicurezza derivanti dall’aggiunta di funzionalità che superano la mera modifica del contenuto e interagiscono con risorse esterne.