CVE‑2025‑21298 è una vulnerabilità Remote Code Execution in Windows OLE sfruttabile via email RTF/oggetto OLE anche nel riquadro di anteprima di Outlook. È critica (CVSS 9.8) e interessa Windows 10/11 e Windows Server 2008–2025. Patch ufficiali: 14 gennaio 2025.

Che cos’è il problema

CVE‑2025‑21298 riguarda il componente Object Linking and Embedding (OLE) di Windows, la tecnologia che consente a un’app di incorporare oggetti di un’altra (grafici, fogli di calcolo, controlli, ecc.). Un attacco con un documento RTF o un oggetto OLE malformato può innescare l’esecuzione di codice arbitrario senza interazione dell’utente quando il messaggio viene semplicemente selezionato in Outlook e mostrato nel riquadro di anteprima (zero‑click).

• Vettore: email con allegato RTF/embedded OLE; il parsing dell’anteprima attiva l’exploit.
• Gravità: critica, CVSS 3.1 = 9.8.
• Prodotti interessati: Windows 10, Windows 11 e tutte le edizioni di Windows Server da 2008 a 2025.
• Effetto: esecuzione di codice con i privilegi del processo che elabora il contenuto (tipicamente l’utente loggato).

Perché è pericolosa: il contenuto RTF/OLE viene processato in fase di anteprima e ciò aggira controlli basati sul semplice “non aprire allegati”. Un account con permessi eccessivi (local admin, membership in gruppi d’infrastruttura, privilegi su share o istanze SQL) amplifica enormemente l’impatto.

Come si manifesta un attacco riuscito

1. L’utente riceve un’email con allegato RTF (o un file che incorpora un oggetto OLE).
2. Il messaggio viene selezionato in Outlook: il riquadro di anteprima invoca il motore di rendering, che carica i componenti OLE.
3. L’exploit esegue codice in memoria; l’attaccante ottiene esecuzione sul sistema con i privilegi dell’utente.

Nota: benché l’esempio di comodo sia Outlook, il difetto è nel sistema operativo; patch e mitigazioni agiscono sul layer Windows, non soltanto sulle app Office.

Impatto su Windows Server

La vulnerabilità si applica pienamente a Windows Server (2008/2008 R2/2012/2012 R2/2016/2019/2022/2025). In scenari reali, i server colpiti sono spesso:

• RDS/Terminal Server con Outlook/Office installati per gli utenti.
• Server applicativi su cui operatori o servizi elaborano documenti (anteprima, conversione, stampa server‑side).
• Jump box / bastion host usati da amministratori per gestione e posta.

Un exploit riuscito consente di eseguire codice con i privilegi dell’utente che visualizza il contenuto e, per riflesso, può compromettere l’host e l’infrastruttura (movimento laterale, furto di credenziali in memoria, accesso a share AD o database cui l’utente ha diritti).

Ruolo/Scenario	Rischio pratico	Contromisure consigliate
RDS con Outlook	Impatto elevato: più utenti, superfici di attacco ampie	Patch urgente, ASR “no child processes”, testo semplice, blocco RTF a gateway
File/Print server con preview	Medio–alto: servizi o handler possono processare RTF	Disabilitare anteprime server‑side, patch, auditing caricamenti DLL non standard
Jump box admin	Estremo: credenziali privilegiate in memoria	Posta separata, MFA, workstation dedicate, patch immediata

Soluzione definitiva

Microsoft ha rilasciato il 14 gennaio 2025 aggiornamenti cumulativi che correggono il bug su tutte le versioni supportate di Windows e Windows Server. La priorità è installare le patch su client e server secondo la vostra finestra di manutenzione, con riavvio pianificato.

Versione Server	Aggiornamento cumulativo*	Metodo di distribuzione
2008 / 2008 R2	Monthly Rollup in WSUS / Catalogo	WSUS, SCCM, Windows Update
2012 / 2012 R2	Monthly Rollup in WSUS / Catalogo	Idem
2016	Cumulative Update Gen‑2025	Idem
2019	Cumulative Update Gen‑2025	Idem
2022	Cumulative Update Gen‑2025	Idem
2025	Global Update Gen‑2025	Idem

* I numeri KB variano per versione; usare Microsoft Update Catalog o WSUS per identificare il pacchetto corretto.

Checklist di distribuzione consigliata

1. Inventario: elencare i sistemi Windows 10/11 e tutti i Windows Server, con ruoli e criticità.
2. Test: applicare le patch in staging e verificare app legacy che usano OLE (anteprime, stampa, tool di conversione).
3. Rollout a ondate: iniziare da RDS, jump box e server esposti; proseguire con i restanti in finestre con riavvio.
4. Verifica: controllare lo stato da WSUS/SCCM/Intune e con comandi locali.

Comandi utili di verifica

PowerShell (elenco hotfix locali):

Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 20 HotFixID, InstalledOn

WMIC (legacy):

wmic qfe get HotFixID,InstalledOn

Mitigazioni temporanee (se non è possibile patchare subito)

Le seguenti misure riducono il rischio durante la finestra d’attesa ma non sostituiscono l’aggiornamento:

Visualizzare la posta in testo semplice

In Outlook: File → Opzioni → Centro protezione → Impostazioni Centro protezione → Posta in formato testo normale → attivare “Leggi posta standard in testo normale”. Per ambienti gestiti, distribuire via Criteri di gruppo (ADMX di Office). Ciò evita l’elaborazione di contenuti OLE nel rendering RTF/HTML.

Bloccare o filtrare allegati RTF

A livello di gateway/EDR, bloccare i file .rtf provenienti da sorgenti non affidabili o sconosciute e rafforzare la sandbox. In Exchange Online/Server è possibile creare una regola di trasporto che rifiuti o quaranteni i messaggi con allegati .rtf.

# Esempio (Exchange Online PowerShell): blocca allegati .rtf
New-TransportRule -Name "Block RTF attachments" `
  -AttachmentExtensionMatchesWords "rtf" `
  -RejectMessageEnhancedStatusCode "5.7.1" `
  -RejectMessageReasonText "RTF temporaneamente non consentiti"

In alternativa, applicare detonation prioritaria agli RTF e imporre l’accesso in sola visualizzazione da Safe Documents per contenuti sconosciuti.

Principio del minimo privilegio

Ridurre i privilegi degli utenti che accedono alla posta su server e jump box. Evitare account con diritti locali di amministratore. Abilitare Credential Guard e separare le postazioni per l’amministrazione (PAW) dalla produttività.

ASR (Attack Surface Reduction)

Abilitare la regola “Block all Office applications from creating child processes”. In ambienti Windows Defender Antivirus:

# GUID della regola: D4F940AB-401B-4EFC-AADC-AD5F3C50688A
1 = Block, 6 = Audit
Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A `
  -AttackSurfaceReductionRules_Actions 1

Distribuire via GPO (Computer Configuration → Administrative Templates → Windows Components → Microsoft Defender Antivirus → Attack surface reduction) oppure tramite criteri di Endpoint Security in Intune. Avviare in Audit se necessario per valutare impatti, quindi passare a Block.

Monitoraggio di indicatori di compromissione (IOC)

Osservare processi anomali avviati da OUTLOOK.EXE o WINWORD.EXE, creazione di child processes (script, interpreti, tool di sistema), caricamenti sospetti di ole32.dll da percorsi non standard, e connessioni di rete inattese dai processi Office.

Esempi di query (Microsoft Defender for Endpoint – Advanced Hunting)

Processi figli creati da Outlook/Word:

DeviceProcessEvents
| where Timestamp > ago(7d)
| where InitiatingProcessFileName in~ ("OUTLOOK.EXE","WINWORD.EXE")
| summarize count(), makeset(FileName) by DeviceName, InitiatingProcessFileName
| order by count_ desc

Caricamenti di ole32.dll da percorsi non standard:

DeviceImageLoadEvents
| where Timestamp > ago(7d)
| where InitiatingProcessFileName in~ ("OUTLOOK.EXE","WINWORD.EXE")
| where FileName =~ "ole32.dll" and not(FolderPath has "\\Windows\\System32\\")
| project Timestamp, DeviceName, InitiatingProcessFileName, FolderPath

Email con allegati RTF (se integrati i segnali MDO):

EmailAttachmentInfo
| where Timestamp > ago(7d)
| where AttachmentFileExtension =~ "rtf"
| summarize dcount(NetworkMessageId) by SenderFromDomain, RecipientEmailAddress

Raccomandazioni operative

Attività	Priorità	Note
Distribuire le patch di gennaio 2025 in ambiente di test	Alta	Verificare eventuali regressioni su applicazioni legacy che usano OLE.
Estendere la distribuzione a produzione	Critica	Preferire finestre di manutenzione con riavvio pianificato.
Aggiornare immagini gold / template	Media	Evita vulnerabilità in nuove VM.
Riesaminare il piano di risposta incidenti	Media	Aggiornare playbook di detection e contenimento RCE via email.

Esecuzione rapida: piano in 24–72 ore

Entro 24 ore

• Abilitare ASR “Block child processes” in Audit su gruppi pilota (o direttamente Block su RDS/jump box).
• Imporre “testo semplice” in Outlook e blocco RTF a livello di gateway.
• Inventario sistemi a maggiore esposizione (RDS, desktop VIP, server con Outlook).

Entro 48 ore

• Test e distribuzione patch su anello di staging + RDS/jump box.
• Avviare hunt su MDE per processi figli anomali e RTF recenti.
• Comunicazione agli utenti: policy temporanea sugli allegati e best practice.

Entro 72 ore

• Completare la distribuzione patch sui server critici e sui client ad alto rischio.
• Portare ASR su Block per i gruppi prioritari dopo la valutazione.
• Aggiornare immagini gold e pipeline di provisioning.

Approfondimento tecnico: cosa mitigano davvero le misure

• Testo semplice: forza un rendering “inerte” del corpo del messaggio, disattivando componenti che potrebbero invocare parsing OLE/RTF.
• Blocco RTF: riduce drasticamente la probabilità di vettori sfruttabili via email; utile finché la patch non è applicata ovunque.
• ASR: limita l’execution chain impedendo che Outlook/Word creino processi esterni (script, interpreter, LOLBin come powershell.exe, cmd.exe, mshta.exe).
• Least privilege: se l’exploit va a segno, l’impatto è contenuto; riduce la superficie di escalation e il danno laterale.

Hardening aggiuntivo consigliato

• Disabilitare il riquadro di anteprima su sistemi ad alto rischio (RDS condivisi) o limitarlo a specifiche cartelle/visualizzazioni.
• Applocker/WDAC: policy che consenta solo binari firmati di Microsoft/azienda nei contesti Office, negando tool di living‑off‑the‑land fuori lista.
• Isolamento del profilo su server multi‑utente (FSLogix, profili utente separati, niente diritti locali elevati).
• Monitoraggio rete: alert su connessioni in uscita da processi Office verso domini rari o ASN insoliti.

Runbook sintetico di risposta a incidente

1. Contenimento: isolare il dispositivo, revocare token/refresh, forzare reset password dell’utente coinvolto.
2. Raccolta: timeline processi (DeviceProcessEvents), moduli caricati (DeviceImageLoadEvents), chiavi di esecuzione persistente, network flow.
3. Eradicazione: rimuovere payload/persistenza, ripristinare file alterati, applicare patch.
4. Recupero: re‑join a dominio se necessario, monitoraggio intensivo 7–14 giorni.
5. Lezione appresa: codificare miglioramenti (policy RTF, ASR, segmentazione).

Domande frequenti

La patch richiede riavvio? Sì: trattandosi di componenti di sistema, pianificare un riavvio post‑installazione.

Le versioni di Windows fuori supporto ricevono fix? In genere no, salvo programmi speciali (ESU). Dove non disponibile, la misura più sicura è l’aggiornamento a una versione supportata.

È sufficiente aggiornare Office? No. Il problema è in Windows OLE: aggiornare il sistema operativo. Office rimane comunque da tenere aggiornato.

Disattivare OLE a livello globale risolve? Non è realistico: impatta molte funzioni e applicazioni. Preferire patch + mitigazioni mirate.

Come comunicare ai dipendenti

• Informare che, temporaneamente, gli allegati .rtf sono bloccati e la posta è letta in testo semplice.
• Ricordare di segnalare immediatamente email sospette e di non salvare allegati su share sensibili.
• Condividere tempistiche di patching e finestre di riavvio.

Template di controllo qualità post‑patch

1. Conferma installazione hotfix su campione del 10–20% dei device per ogni anello.
2. Verifica funzionale di app che usano anteprime/embedding (stampa, conversione, reportistica).
3. Controllo alert MDE/MDO: riduzione RTF e assenza di processi figli da Office.
4. Rimozione graduale delle mitigazioni temporanee (sblocco RTF, riabilitazione HTML) dopo copertura >= 95%.

In sintesi

• Sì, CVE‑2025‑21298 riguarda i Windows Server ed è una RCE critica sfruttabile anche in zero‑click via anteprima di Outlook.
• Patchare subito con gli aggiornamenti cumulativi di gennaio 2025 è l’unica soluzione definitiva.
• Nell’attesa, ridurre la superficie d’attacco: testo semplice, blocco RTF, least privilege, ASR e monitoraggio di segni di compromissione.

---

Appendice: esempi operativi pronti all’uso

GPO – forzare “leggi posta in testo semplice” (Outlook)

1. Importare i template amministrativi di Office.
2. Modificare il GPO → User Configuration → Policies → Administrative Templates → Microsoft Outlook → Security → Read e‑mail as plain text → Enabled.
3. Applicare a OU con utenti RDS/jump box e testarne l’impatto.

Intune – Attack Surface Reduction

1. Endpoint security → Attack surface reduction → Create policy.
2. Regola “Block all Office applications from creating child processes” → Enable (eventualmente Audit per prima onda).
3. Assegnare a gruppi di dispositivi con priorità RDS/IT.

Ricerca rapida file RTF nelle share

# PowerShell: trova RTF modificati negli ultimi 7 giorni
Get-ChildItem -Path "\\fileserver\share" -Recurse -Filter *.rtf |
  Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) } |
  Select-Object FullName, Length, LastWriteTime

Audit child process da Office via Sysmon (opzionale)

Se usate Sysmon, attivate una regola ProcessCreate che faccia include su OUTLOOK.EXE/WINWORD.EXE come ParentImage e allertate su generazione di cmd.exe, powershell.exe, mshta.exe, wscript.exe, cscript.exe.

Conclusione

CVE‑2025‑21298 è una falla RCE in Windows OLE ad alto impatto operativo perché sfruttabile in zero‑click tramite la semplice anteprima della posta. La strategia vincente è: patch immediata, mitigazioni intelligenti durante l’attesa, telemetria e hunt per anticipare eventuali compromissioni. Con una gestione strutturata (test → rollout → verifica) è possibile ridurre drasticamente la finestra di esposizione senza penalizzare la continuità del servizio.

---