Usi ancora una vecchia versione di Office? Gli hacker sfruttano falle corrette anche 17 anni fa

Molti utenti continuano a utilizzare versioni storiche di Microsoft Office perché perfettamente funzionanti. Installazioni di Office 2007, Office 2010, Office 2013, Office 2016 e Office 2019 sono ancora presenti in aziende, studi professionali, enti pubblici e computer domestici. La motivazione è semplice: Word apre documenti, Excel esegue calcoli, Outlook riceve email e PowerPoint crea presentazioni esattamente come il primo giorno.

La domanda da porsi, tuttavia, non riguarda la funzionalità ma la sicurezza. L’assenza di malfunzionamenti non equivale all’assenza di vulnerabilità: anzi, spesso accade l’esatto contrario. I prodotti più longevi diventano nel tempo bersagli privilegiati per gli attaccanti, soprattutto quando non ricevono più aggiornamenti di sicurezza.

Cosa significa realmente “fine supporto”

Quando Microsoft dichiara terminato il supporto di una versione di Office (EoL, End of Life), non sta semplicemente interrompendo l’assistenza tecnica. Significa soprattutto che eventuali vulnerabilità individuate dopo tale data non saranno corrette.

Tutte le versioni di Office citate in apertura hanno ormai raggiunto la data di fine supporto: anche Office 2019, che come si può verificare sul sito “Ricerca di informazioni sul ciclo di vita di prodotti e servizi“, è arrivato al “fine vita” il 14 ottobre 2025 (insieme con Office 2016). Una vulnerabilità scoperta oggi in Office 2019 o in qualunque altra versione precedente della suite potrebbe consentire l’esecuzione di codice arbitrario senza che Microsoft rilasci alcuna patch correttiva.

Ogni mese sono identificate nuove CVE (Common Vulnerabilities and Exposures) che interessano componenti di Microsoft Office: dai parser dei documenti alle librerie utilizzate per la gestione di contenuti incorporati, fino ai meccanismi di rendering e alle integrazioni con il sistema operativo.

Quando una vulnerabilità è scoperta in una versione ancora supportata, Microsoft distribuisce una patch correttiva attraverso il normale ciclo di aggiornamento mensile (Patch Tuesday, secondo martedì di ogni mese). Se il medesimo componente è presente anche in una versione non più supportata, quest’ultima rimane vulnerabile in modo definitivo.

Nel tempo si accumula quindi un numero crescente di falle note e pubblicamente documentate. Questo fenomeno trasforma progressivamente il software in un bersaglio sempre più interessante per gli attaccanti, che possono sviluppare exploit specifici con la certezza che il difetto non sarà mai corretto.

Microsoft Office: la superficie di attacco va oltre le macro

Anni fa una delle strade principali utilizzate dagli attaccanti, nel caso di Office, era associata prevalentemente alle macro VBA. Un documento Office può contenere oggetti OLE, controlli ActiveX, template remoti, collegamenti dinamici a risorse esterne, componenti COM e contenuti incorporati in grado di interagire direttamente con il sistema operativo.

Nel corso degli anni numerose campagne malware hanno sfruttato vulnerabilità nel parser dei file DOC, XLS, RTF e PPT senza richiedere l’esecuzione di macro: in alcuni casi è sufficiente visualizzare l’anteprima del documento o aprire un allegato opportunamente modificato per aprire le porte all’esecuzione di codice arbitrario.

Le versioni più vecchie di Office risultano particolarmente esposte perché utilizzano componenti sviluppati in un’epoca in cui le moderne tecniche di mitigazione degli exploit, come ASLR, DEP avanzato, Visualizzazione protetta e sandboxing dei contenuti, erano assenti o implementate in forma limitata.

Le versioni più recenti di Office usano per default la già citata Visualizzazione protetta, una modalità di apertura sicura che isola automaticamente i documenti provenienti da fonti considerate non attendibili, come allegati email o file scaricati da Internet. In questa modalità il documento è aperto in sola lettura e con numerose restrizioni che limitano l’esecuzione di contenuti attivi potenzialmente pericolosi.

Quando l’isolamento può ridurre il rischio

Esistono scenari nei quali l’utilizzo di una vecchia versione di Office può risultare ancora accettabile dal punto di vista operativo.

Si pensi a una postazione industriale dedicata esclusivamente alla consultazione di archivi storici, a un sistema di laboratorio o a una macchina che utilizza fogli Excel sviluppati molti anni fa e incompatibili con le versioni più recenti. In questi contesti il rischio può essere ridotto adottando una strategia di isolamento fisico e logico.

L’approccio più efficace consiste nell’eliminare qualsiasi forma di connettività verso Internet o verso reti non fidate: la segmentazione di rete, la disabilitazione delle interfacce, il blocco dei supporti rimovibili e l’utilizzo di macchine virtuali dedicate consentono di limitare significativamente la superficie esposta.

L’isolamento non elimina le vulnerabilità presenti nel software, ma riduce la probabilità che possano essere sfruttate da soggetti esterni.

L’anello debole: chiavette USB e documenti esterni

Molti incidenti che coinvolgono sistemi legacy non derivano da attacchi provenienti direttamente dalla rete. Anche una macchina completamente scollegata può essere compromessa attraverso documenti provenienti da fonti esterne, supporti USB infetti, hard disk portatili o archivi trasferiti da altri computer.

In questi scenari il fattore umano assume un ruolo determinante: l’utente può introdurre inconsapevolmente contenuti malevoli all’interno di un ambiente considerato sicuro, vanificando i benefici dell’isolamento.

Per questa ragione gli ambienti che utilizzano software non supportato dovrebbero prevedere procedure rigorose di controllo dei file in ingresso e sistemi dedicati alla scansione preventiva dei supporti removibili.

KB5021751: quando Microsoft ha iniziato a censire le installazioni Office obsolete

A gennaio 2023 Microsoft ha distribuito un aggiornamento insolito identificato come KB5021751, destinato ai sistemi Windows sui quali erano installate versioni storiche di Microsoft Office come Office 2007, Office 2010 e Office 2013.

A differenza dei tradizionali aggiornamenti di sicurezza, KB5021751 non correggeva vulnerabilità, non introduceva nuove funzionalità e non modificava il comportamento delle applicazioni Office. Il suo unico scopo era raccogliere informazioni diagnostiche sulla presenza di versioni della suite ormai fuori supporto o prossime alla fine del ciclo di vita.

Secondo Microsoft, il pacchetto era progettato per aiutare l’azienda a comprendere quanto fossero ancora diffuse le installazioni legacy e per pianificare meglio le future strategie di supporto e migrazione. L’aggiornamento eseguiva una verifica delle versioni Office presenti sul sistema utilizzando informazioni ricavate dal registro di sistema e da altri componenti di Windows, inviando successivamente dati diagnostici ai server Microsoft.

KB5021751, sebbene abbia destato qualche preoccupazione in tema di privacy, non è stato soltanto un aggiornamento diagnostico. Quel pacchetto fu la conferma indiretta del fatto che il problema delle installazioni Office obsolete continua a essere una realtà concreta e diffusa, sia negli ambienti domestici che nelle infrastrutture aziendali.

Perché gli hacker continuano a sfruttare vulnerabilità di Office vecchie di dieci anni

Uno degli aspetti più sorprendenti nel mondo della cybersecurity è che gli aggressori non hanno sempre bisogno di scoprire nuove vulnerabilità. Molto spesso è sufficiente riutilizzare exploit sviluppati anni prima.

Un caso emblematico è rappresentato dalle vulnerabilità CVE-2017-11882 e CVE-2018-0802, entrambe legate al componente Equation Editor di Office. Sebbene siano state corrette rispettivamente nel 2017 e nel 2018, continuano a essere utilizzate nelle campagne malware perché esiste ancora un numero elevato di sistemi che non hanno mai ricevuto gli aggiornamenti necessari.

Secondo le analisi condotte da Kaspersky, lo sfruttamento della vulnerabilità CVE-2017-11882 ha registrato una crescita di quasi il 500% in un singolo trimestre del 2023, mentre CVE-2018-0802 si è confermata una delle tecniche di attacco più utilizzate contro gli utenti Office.

Dal punto di vista tecnico, queste vulnerabilità consentono l’esecuzione di codice arbitrario semplicemente inducendo la vittima ad aprire un documento opportunamente modificato. In molti casi non è necessario abilitare macro o compiere altre operazioni particolari: il documento sfrutta direttamente una debolezza presente nel software installato sul computer.

Ampiamente sfruttate anche vulnerabilità di vecchia data

Il fenomeno non riguarda esclusivamente vecchie vulnerabilità. Nel 2024 Microsoft ha corretto decine di falle critiche in Office e Microsoft 365, comprese vulnerabilità di esecuzione di codice da remoto e bypass delle mitigazioni OLE.

I meccanismi OLE (Object Linking and Embedding) sono utilizzati da Office per incorporare e gestire contenuti esterni: nel 2024 e nel 2026 Microsoft è stata più volte costretta a intervenire per correggere vulnerabilità che consentivano di aggirare alcune protezioni introdotte proprio per limitare gli attacchi basati su documenti malevoli.

Ancora più significativo è il fatto che nel 2026 l’agenzia CISA statunitense abbia segnalato casi di sfruttamento attivo di vulnerabilità Excel estremamente datate, alcune delle quali risalenti a oltre 15 anni fa. Per un attaccante non conta l’età della vulnerabilità ma il numero di sistemi che possono ancora essere compromessi.

Gli aggressori non distinguono tra vulnerabilità “vecchie” e “nuove”: sfruttano qualunque falla consenta di ottenere l’accesso a un sistema. Finché continueranno a esistere installazioni di Office fuori supporto, gli exploit storici rimarranno uno strumento efficace, economico e altamente redditizio per cybercriminali e gruppi APT.

Per questo motivo il rischio associato alle versioni legacy di Office non diminuisce con il passare degli anni. Al contrario, tende ad aumentare. Ogni nuova vulnerabilità corretta nelle versioni recenti e supportate rappresenta infatti un’ulteriore differenza di sicurezza rispetto alle piattaforme che non ricevono più aggiornamenti, ampliando progressivamente il divario tra software supportato e software obsoleto.