Il Patch Tuesday di febbraio 2025 ha riservato una sorpresa inaspettata: Microsoft ha corretto una vulnerabilità critica in un'applicazione che accompagna Windows dalla versione 1.0, il leggendario Blocco Note. La falla, classificata come CVE-2026-20841, permetteva l'esecuzione remota di codice attraverso link Markdown appositamente manipolati, senza che il sistema operativo mostrasse alcun avviso di sicurezza all'utente. Un caso emblematico di come anche gli strumenti più semplici possano nascondere rischi significativi quando vengono modernizzati con nuove funzionalità.
La vulnerabilità affonda le radici nella completa riscrittura di Blocco Note avvenuta con Windows 11. Quando Microsoft ha deciso di dismettere WordPad e rimuoverlo dal sistema operativo, ha scelto di trasformare il suo editor di testo più iconico in uno strumento ibrido, capace di gestire sia file di testo semplice che documenti con formattazione avanzata. L'introduzione del supporto Markdown rappresentava un salto evolutivo importante: gli utenti potevano finalmente formattare testo, creare liste e inserire link cliccabili utilizzando la sintassi standard dei file .md, ampiamente diffusa tra sviluppatori e appassionati di tecnologia.
Il problema di sicurezza scoperto da Cristian Papa, Alasdair Gorniak e Chen sfruttava proprio questa nuova funzionalità. Creando un file Markdown con link che utilizzavano protocolli non standard come file:// o URI speciali come ms-appinstaller://, un attaccante poteva indurre l'applicazione a eseguire programmi locali o remoti. La particolarità più preoccupante risiedeva nell'assenza totale di dialoghi di conferma: quando l'utente apriva il documento in modalità Markdown e cliccava il link con Ctrl+click, il file veniva eseguito direttamente nel contesto di sicurezza dell'utente corrente, ereditandone tutti i permessi.
La community ha reagito rapidamente una volta comunicata la vulnerabilità, con diversi ricercatori che hanno dimostrato su social media quanto fosse banale sfruttare la falla. Bastava un file test.md contenente link a eseguibili o utilizzando protocolli come ms-appinstaller:// per lanciare applicazioni o aprire il prompt dei comandi senza alcuna notifica di Windows. Lo scenario più pericoloso prevedeva la creazione di collegamenti verso condivisioni SMB remote, permettendo teoricamente l'esecuzione di payload ospitati su server controllati dagli attaccanti.
Microsoft ha implementato la correzione modificando il comportamento di Blocco Note: ora l'applicazione mostra un dialogo di avviso ogni volta che l'utente tenta di aprire un link che non utilizza i protocolli standard http:// o https://. Questo vale per tutti i tipi di URI alternativi, inclusi file:, ms-settings:, mailto: e ms-search:. Nei test condotti la patch risulta efficace nel bloccare l'esecuzione silenziosa, sebbene rimanga possibile indurre utenti poco attenti a cliccare comunque sul pulsante "Sì" attraverso tecniche di social engineering.
Resta da chiedersi perché Microsoft non abbia semplicemente impedito l'utilizzo di protocolli non standard nei link Markdown fin dalla progettazione iniziale della funzionalità. La scelta di affidarsi a un dialogo di conferma rappresenta una soluzione intermedia che bilancia sicurezza e flessibilità, ma che non elimina completamente il rischio di manipolazione degli utenti. La buona notizia è che Blocco Note si aggiorna automaticamente tramite Microsoft Store, garantendo una distribuzione rapida della patch alle versioni 11.2510 e precedenti senza intervento manuale degli utenti. L'impatto pratico della vulnerabilità dovrebbe quindi rimanere limitato, relegandola principalmente a un interessante caso di studio su come le moderne funzionalità di produttività possano introdurre vettori di attacco inattesi in applicazioni storicamente considerate innocue.
