Continuare a usare una vecchia versione di Office sembra una scelta sensata, finché tutto funziona. Word apre i documenti, Excel macina numeri, Outlook scarica la posta e PowerPoint costruisce le slide come il primo giorno. Eppure proprio qui si nasconde il problema: installazioni di Office 2007, Office 2010, Office 2013, Office 2016 e Office 2019 sono ancora dappertutto, in aziende, studi professionali, uffici pubblici e computer di casa. E gli hacker lo sanno benissimo, tanto da sfruttare falle corrette persino diciassette anni fa.
La questione vera non è se questi programmi funzionano. È un’altra cosa, e riguarda la sicurezza. L’assenza di malfunzionamenti non significa assenza di pericoli, anzi: spesso vale l’esatto contrario. I prodotti più longevi diventano col tempo bersagli perfetti, soprattutto quando smettono di ricevere aggiornamenti.
Cosa vuol dire davvero “fine supporto”
Quando Microsoft annuncia la fine del supporto di una versione di Office, il cosiddetto End of Life, non sta solo chiudendo lo sportello dell’assistenza tecnica. Sta dicendo qualcosa di più scomodo: le vulnerabilità scoperte dopo quella data non verranno corrette. Mai.
Tutte le versioni citate prima hanno ormai tagliato questo traguardo. Anche Office 2019 è arrivato al capolinea il 14 ottobre 2025, in compagnia di Office 2016. Una falla individuata oggi in una di queste suite potrebbe permettere l’esecuzione di codice arbitrario senza che arrivi nessuna patch a tappare il buco.
Ogni mese spuntano nuove CVE, le sigle con cui vengono catalogate le vulnerabilità note, che toccano componenti di Office: dai parser dei documenti alle librerie per i contenuti incorporati, fino ai meccanismi di rendering. Quando una falla riguarda una versione ancora supportata, Microsoft rilascia la correzione col solito ciclo mensile, il Patch Tuesday del secondo martedì. Ma se lo stesso componente vive anche in una versione abbandonata, quella resta scoperta per sempre. Il risultato è un cumulo crescente di difetti documentati pubblicamente, una manna per chi costruisce exploit sapendo che non verranno mai chiusi.
Non solo macro: la superficie d’attacco è enorme
Un tempo la porta d’ingresso preferita erano le macro VBA. Oggi il discorso è più ampio. Un documento Office può contenere oggetti OLE, controlli ActiveX, template remoti, collegamenti a risorse esterne e componenti capaci di dialogare direttamente col sistema operativo. Diverse campagne malware hanno sfruttato falle nei parser dei file DOC, XLS, RTF e PPT senza nemmeno bisogno delle macro: a volte basta aprire l’anteprima o cliccare su un allegato modificato ad arte.
Le versioni più datate sono particolarmente esposte perché nate quando tecniche di difesa come ASLR, DEP avanzato, Visualizzazione protetta e sandboxing erano assenti o appena abbozzate. Le edizioni recenti aprono di default i file sospetti, come gli allegati email o i download, in sola lettura e con pesanti restrizioni sui contenuti attivi.
Ci sono casi in cui tenere una vecchia versione resta sostenibile: una postazione industriale che consulta archivi storici, un sistema di laboratorio, una macchina con fogli Excel sviluppati anni fa e incompatibili col nuovo. Qui l’isolamento aiuta. Tagliare ogni connessione verso Internet, segmentare la rete, bloccare i supporti rimovibili e usare macchine virtuali dedicate riduce parecchio l’esposizione. Non elimina le vulnerabilità, ma rende più difficile sfruttarle dall’esterno.
L’anello debole qual è?
L’anello debole, però, spesso è un altro. Molti incidenti su sistemi legacy non arrivano dalla rete ma da chiavette USB infette, hard disk portatili, archivi trasferiti da un altro pc. Una macchina scollegata può comunque essere compromessa, e qui il fattore umano pesa: l’utente introduce contenuti malevoli senza rendersene conto, mandando in fumo tutto l’isolamento.
A gennaio 2023 Microsoft aveva distribuito un aggiornamento curioso, il KB5021751, rivolto ai pc con installazioni di Office 2007, 2010 e 2013. Non correggeva nulla, non aggiungeva funzioni: serviva solo a censire quante installazioni obsolete fossero ancora in circolazione, leggendo il registro di sistema e inviando dati diagnostici. La conferma indiretta che il problema è tutt’altro che marginale.
Cosa fanno gli aggressori?
Gli aggressori, del resto, non hanno sempre bisogno di scovare falle nuove. Le vulnerabilità CVE-2017-11882 e CVE-2018-0802, legate all’Equation Editor, sono state corrette nel 2017 e nel 2018 ma girano ancora nelle campagne malware. Secondo le analisi di Kaspersky lo sfruttamento della prima è cresciuto di quasi il 500% in un solo trimestre del 2023. Entrambe permettono di eseguire codice semplicemente aprendo un documento truccato, senza toccare nulla.
Il fenomeno non si ferma alle falle antiche. Nel 2024 Microsoft ha corretto decine di difetti critici in Office e Microsoft 365, compresi bypass delle mitigazioni OLE, i meccanismi che incorporano contenuti esterni. E nel 2026 l’agenzia statunitense CISA ha segnalato lo sfruttamento attivo di vulnerabilità Excel vecchissime, alcune di oltre quindici anni fa. Per chi attacca non conta l’età del difetto, conta quanti sistemi può ancora bucare. Finché esisteranno installazioni di Office fuori supporto, gli exploit storici resteranno uno strumento efficace, economico e redditizio.