CVE-2026-20841: RCE di Windows Notepad Risolta nel Rilascio di Febbraio del Patch Tuesday di Microsoft

La cadenza del Patch Tuesday 2026 di Microsoft continua a plasmare le priorità di patching. Gennaio ha dato il ritmo con le correzioni per una vulnerabilità zero-day del Windows Desktop Window Manager attivamente sfruttata (CVE-2026-20805). Ora, il rilascio di febbraio aggiunge un’altra preoccupazione pratica. Le applicazioni che acquisiscono funzionalità più ricche possono anche ereditare rischi più elevati, come dimostrato dall’app Notepad integrata di Windows 11 ora associata a una vulnerabilità di esecuzione remota di codice. Un attaccante può indurre un utente ad aprire un file Markdown appositamente confezionato in Notepad e cliccare su un link dannoso, il che può attivare la gestione di protocolli non affidabili che scarica contenuti remoti ed esegue il codice.

La vulnerabilità, tracciata come CVE-2026-20841, è stata risolta negli aggiornamenti di sicurezza del 10 febbraio 2026 di Microsoft e porta un punteggio CVSS di 8.8, classificata come Importante.

Dato il ruolo dominante di Microsoft negli ambienti aziendali e dei consumatori, le vulnerabilità nel suo software si diffondono rapidamente e spesso diventano manuali ripetibili per gli aggressori. La revisione del Patch Tuesday 2025 di Tenable mostra il volume che i difensori affrontano, con Microsoft che ha affrontato 1.130 CVE negli aggiornamenti del 2025 e l’esecuzione remota di codice ha costituito il 30,8% di quelle correzioni. Ecco perché CVE-2026-20841 non dovrebbe essere trattata come una patch Importante di routine. È un RCE classificato 8.8 nell’app moderna di Windows Notepad che può trasformare un semplice file Markdown e un singolo click in un percorso di esecuzione del codice.

Registrati per la piattaforma SOC Prime, la prima piattaforma AI-Nativa di Detection Intelligence per la difesa in tempo reale, per esplorare una collezione di oltre 600.000 regole di rilevamento affrontando le minacce più recenti e equipaggiare il tuo team con AI e le migliori competenze in cybersecurity. Clicca su Esplora Rilevamenti per raggiungere l’ampio set di regole per il rilevamento dello sfruttamento delle vulnerabilità, pre-filtrato utilizzando il tag personalizzato “CVE”.

Esplora Rilevamenti

Tutte le regole sono portatili tra le principali piattaforme SIEM, EDR e Data Lake e sono allineate all’ultima MITRE ATT&CK framework v18.1. Approfondisci con l’intelligenza di rilevamento nativa dell’AI, inclusi CTI riferimenti, timeline degli attacchi, indicazioni per la configurazione dell’audit, raccomandazioni per il triage e contesto aggiuntivo che aiuta gli analisti a passare dall’allerta all’azione più rapidamente.

Per ridurre ulteriore il carico del rilevamento dell’ingegneria, i team di sicurezza possono utilizzare Uncoder AI per tradurre istantaneamente la logica di rilevamento tra diversi formati linguistici, generare rilevamenti direttamente dai rapporti sulle minacce grezze, visualizzare i flussi di attacco, accelerare l’arricchimento e la messa a punto e semplificare i flussi di lavoro di convalida end-to-end.

Analisi di CVE-2026-20841

Patch Tuesday di Microsoft del febbraio 2026 ha fornito aggiornamenti di sicurezza per 58 vulnerabilità, incluse sei questioni attivamente sfruttate e tre zero-day divulgate pubblicamente.

Uno dei difetti più rilevanti in questo rilascio è CVE-2026-20841, un problema serio di esecuzione remota di codice nell’app moderna di Windows Notepad. La vulnerabilità si basa su un’iniezione di comandi, dove un input appositamente confezionato può essere interpretato come istruzioni eseguibili anziché essere trattato come testo semplice.

L avviso di Microsoft descrive un semplice percorso di abuso che si basa sull’interazione dell’utente. Un attaccante può ingannare un utente Windows facendo aprire un file Markdown (.md) elaborato in Notepad e cliccare su un collegamento ipertestuale dannoso. Quel clic può indurre Notepad a lanciare protocolli non verificati che caricano ed eseguono file remoti, consentendo l’esecuzione di codice con gli stessi permessi dell’utente connesso. In termini pratici, l’“arma” è un file di testo, la consegna può essere semplice come un’email o un link di download, e il momento del compromesso è il click.

Se sfruttato con successo, l’attaccante eredita il livello di accesso dell’utente, inclusi file locali, condivisioni di rete e strumenti interni. In molti ambienti, è sufficiente per rubare dati, distribuire malware aggiuntivo o organizzare azioni successive che espandono l’intrusione.

Il componente interessato è l’app Notepad distribuita tramite Microsoft Store, non il Notepad.exe legacy che molti team potrebbero pensare. Questa distinzione è operativamente importante perché le app Store possono non essere aggiornate quando gli aggiornamenti automatici sono disabilitati o quando le aziende non applicano la conformità alla versione dell’app. La correzione per CVE-2026-20841 viene spedita tramite Microsoft Store come un rilascio aggiornato di Notepad, con la build 11.2510 e successive marcate come risolte, e Microsoft la elenca come azione richiesta dal cliente.

Si esorta le organizzazioni che si affidano agli ambienti Windows interessati ad applicare gli aggiornamenti di febbraio senza ritardi e a confermare che la versione di Notepad del Microsoft Store sia aggiornata a una build risolta. Per rafforzare la copertura oltre il patching, i team SOC possono migliorare le difese con la piattaforma AI-Nativa di Detection Intelligence di SOC Prime approvvigionando contenuti di rilevamento dal più grande repository continuamente aggiornato, adottando una pipeline end-to-end dal rilevamento alla simulazione, orchestrando i flussi di lavoro in linguaggio naturale e rimanendo resilienti contro le minacce emergenti.