Nuova RCE in Outlook: il fattore umano nella cybersecurity è ancora il punto di svolta

Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi deboli. La vulnerabilità monitorata con l’identificativo CVE-2025-62562, deriva da una vulnerabilità di tipo use-after-free in Microsoft Office Outlook e ha una severity CVSS: 7,8.

L’attivazione dell’exploit avviene localmente, richiedendo all’aggressore di indurre un utente a interagire con un’e-mail dannosa. Una volta fatto ciò, l’attacco scatenato convince l’utente a rispondere ad un’e-mail fasulla, innescando la catena di esecuzione del codice.

Una vulnerabilità che richiede l’interazione dell’utente

Secondo Microsoft, è fondamentale che le organizzazioni installino prioritariamente gli aggiornamenti di sicurezza disponibili per tutte le versioni di Microsoft Office che sono state oggetto dell’aggiornamento.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità interessa diverse versioni di Microsoft Office , tra cui Microsoft Word 2016 (sia a 32 bit che a 64 bit). Il riquadro di anteprima non consente l’esecuzione della minaccia. L’aggressore ha bisogno che l’utente risponda manualmente a un’e-mail appositamente creata per sfruttare la vulnerabilità.

Microsoft ha confermato che le patch di sicurezza sono disponibili tramite Windows Update e Microsoft Download Center. Questo requisito di interazione aggiunge un ulteriore livello di difficoltà. Tuttavia, rimane una minaccia concreta in scenari reali in cui le tecniche di ingegneria sociale potrebbero convincere gli utenti a rispondere.

Haifei Li di EXPMON ha segnalato la vulnerabilità mediante il processo di Coordinated Vulnerability Disclosure. Al momento della pubblicazione, risulta che non esistono prove di sfruttamento attivo o di divulgazione pubblica del codice di exploit.

Gli aggiornamenti per Microsoft Office LTSC per Mac 2021 e 2024 non sono immediatamente disponibili. Saranno rilasciati il prima possibile. Per i sistemi senza disponibilità immediata delle patch, Microsoft consiglia di prestare attenzione alle e-mail indesiderate ed evitare di rispondere a messaggi sospetti.

Il fattore umano ancora il punto di svolta

Nonostante le tecnologie di difesa continuino a evolvere, il fattore umano rimane tuttora il punto più fragile dell’intera catena di sicurezza. La vulnerabilità RCE di Outlook lo dimostra chiaramente: l’exploit non si attiva da solo, ma richiede che l’utente risponda a un’e-mail appositamente costruita.

In un contesto in cui gli attacchi diventano sempre più convincenti grazie a tecniche di ingegneria sociale potenziate dall’intelligenza artificiale, anche un singolo clic può trasformarsi nella porta d’ingresso per un compromesso grave. Le organizzazioni che non investono nella formazione continua dei propri dipendenti si ritrovano inevitabilmente esposte, perché nessuna patch o soluzione tecnologica può compensare un comportamento inconsapevole.

Nell’era delle minacce AI-driven, la consapevolezza al rischio non è più solo un valore aggiunto, ma un fattore determinante per la resilienza aziendale. I moderni attacchi sfruttano analisi comportamentali, testi generati dall’IA indistinguibili dall’umano e campagne mirate che fanno leva su abitudini, pressioni lavorative e automatismi psicologici.

In questo scenario, sviluppare una cultura della sicurezza – fatta di attenzione, dubbi sani e processi di verifica – diventa essenziale quanto mantenere aggiornati i sistemi. Solo integrando tecnologia e comportamenti consapevoli, le aziende possono realmente resistere alle minacce sempre più sofisticate che l’intelligenza artificiale contribuisce a generare.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.