Gli exploit di Microsoft Office continuano a rappresentare una delle minacce più significative nel panorama della sicurezza informatica nel 2025. Gli hacker sfruttano frequentemente file Word ed Excel per diffondere malware, approfittando della familiarità che gli utenti hanno con questi formati. Ecco i tre exploit principali che i malintenzionati usano ancora oggi.

Phishing tramite file di Microsoft Office

Il phishing tramite file di Microsoft Office resta una delle tecniche preferite dagli hacker. Questo perché tali documenti sono ampiamente utilizzati in ambienti aziendali, dove spesso non si esita ad aprire un file ricevuto da un presunto collega o cliente. Gli attacchi di phishing mirano a rubare credenziali di accesso, spesso attraverso link a pagine di login false di Microsoft 365 o portali di phishing che simulano servizi aziendali. Un esempio è un file Excel contenente un link malevolo che conduce a una pagina di verifica fasulla di Cloudflare, seguita da un redirect a una pagina di login di Microsoft fittizia.

CVE-2017-11882: L'exploit dell'Equation Editor

Un altro exploit persistente è CVE-2017-11882, noto come l'exploit dell'Equation Editor. Anche se scoperto nel 2017, continua a essere usato contro sistemi che eseguono versioni obsolete di Office. Questo exploit richiede solo l'apertura di un file Word malevolo per attivare il download di un payload, come il malware Agent Tesla, che ruba informazioni sensibili come le sequenze dei tasti e i dati degli appunti.

Follina (CVE-2022-30190)

Infine, l'exploit Follina (CVE-2022-30190) sfrutta lo strumento di diagnostica di supporto di Microsoft per eseguire codice remoto senza bisogno di macro o ulteriori interazioni da parte dell'utente. Basta visualizzare il file per attivare script malevoli, spesso basati su PowerShell, che contattano server di comando e controllo. In alcuni casi, il malware è nascosto in file immagine tramite steganografia, ingannando i controlli di sicurezza tradizionali.

Per proteggere il proprio ambiente aziendale, è cruciale adottare misure preventive come limitare l'apertura di documenti Office da fonti esterne, utilizzare sandbox come ANY.RUN per analizzare i file sospetti, aggiornare regolarmente il software Office e disattivare funzionalità legacy come le macro. Inoltre, con l'aumento delle minacce su dispositivi mobili, è fondamentale avere visibilità anche su queste piattaforme per una protezione completa.