Microsoft ha appena rilasciato una patch di emergenza per correggere CVE-2026-20841, una vulnerabilità ad alta gravità che affligge l’applicazione Notepad di Windows 11. Il problema, classificato con un punteggio CVSS di 8.8, consente a un attaccante di eseguire codice remoto sul sistema della vittima semplicemente inducendola ad aprire un file Markdown manipolato e cliccare su un link malevolo al suo interno.
Quando consideri che Notepad è installato di default su praticamente ogni PC Windows, capisci immediatamente la portata potenziale di questa falla.
Il meccanismo di attacco sfrutta il supporto Markdown introdotto da Microsoft nel maggio 2025, una funzionalità che ha generato non poche polemiche tra chi preferiva mantenere Notepad come editor di testo minimalista e veloce. La vulnerabilità permette di lanciare “protocolli non verificati” che caricano ed eseguono file remoti con i permessi correnti. Questo offre agli attaccanti accesso completo ai dati senza richiedere privilegi particolari.
L’episodio riapre il dibattito sulla direzione presa dal produttore di Redmond nel trasformare applicazioni storicamente basilari in strumenti connessi alla rete e dotati di intelligenza artificiale.
Manel Rodero, ingegnere informatico all’Università Politecnica della Catalogna, ha espresso con forza il malcontento condiviso da molti professionisti del settore. “Microsoft sta trasformando Notepad in un disastro lento e pieno di funzioni di cui non abbiamo bisogno”, ha dichiarato Rodero. “Vogliamo solo qualcosa per aprire file di testo, non un editor potenziato dall’AI con falle di sicurezza come questa”.
Notepad: il meccanismo e il vettore di attacco
L’exploit di CVE-2026-20841 si basa su una tecnica relativamente semplice ma efficace. Un malintenzionato deve semplicemente creare un file Markdown contenente link appositamente predisposti.
A questo punto, se la vittima apre il file con il celebre editor di testo e clicca sul collegamento malevolo, l’applicazione non neutralizza correttamente gli elementi speciali utilizzati nel comando. Di conseguenza, viene consentita l’iniezione di codice (command injection) che avvia protocolli non verificati.
Questi protocolli concedono all’attaccante lo stesso livello di permessi di chi ha aperto il documento. La semplicità del vettore d’attacco preoccupa particolarmente perché il phishing rimane il metodo di accesso iniziale più efficace per i cybercriminali, nonostante le numerose protezioni email disponibili. Il fatto che la funzionalità Markdown sia attiva come impostazione predefinita su tutti i sistemi aggiornati amplifica ulteriormente la superficie d’attacco. Questo rende vulnerabili milioni di installazioni Windows senza che chi le utilizza ne sia consapevole o abbia esplicitamente richiesto tali capacità avanzate.
Sebbene tutte queste funzionalità possano essere disattivate nelle impostazioni, rimangono attive di default. Questo espone chi le utilizza a rischi che non esistevano quando Notepad era un essenziale editor offline.
La patch e le raccomandazioni
Microsoft ha incluso la correzione per CVE-2026-20841 nel Patch Tuesday di febbraio 2026, rilasciato il 10 febbraio, insieme ad altri 56 aggiornamenti di sicurezza che comprendono sei vulnerabilità zero-day attivamente sfruttate.
Se utilizzi Windows 11 con Notepad, ti consiglio vivamente di verificare che il sistema abbia installato gli ultimi aggiornamenti disponibili. Allo stesso modo, assicurati di mantenere aggiornata anche l’applicazione scaricata dallo Store.
Secondo la metrica CVSS, l’attacco richiede l’interazione ma presenta bassa complessità, non necessita di privilegi particolari e può compromettere completamente la confidenzialità, l’integrità e la disponibilità dei dati. Microsoft classifica il livello di rimedio come “Official Fix”, indicando che una soluzione completa è disponibile, mentre il livello di maturità dell’exploit rimane “Unproven” dato che nessun codice d’attacco pubblico è ancora circolato.
Vale la pena notare che questa vicenda arriva a pochi giorni da un episodio separato ma ugualmente preoccupante. Il team di Notepad++ (non affiliato a Microsoft) ha confermato che criminali informatici hanno compromesso il loro servizio di aggiornamento già da giugno.
Resta da vedere se Microsoft riconsidererà la direzione intrapresa per l’editor di testo oppure continuerà ad aggiungere funzionalità che, seppur innovative sulla carta, potrebbero allontanare sempre più l’applicazione dalla sua vocazione originale di editor minimale e sicuro.
