Sommario
Microsoft accelera l’evoluzione del proprio ecosistema produttivo con una serie di modifiche tecniche e policy strutturali che impatteranno milioni di utenti: dall’eliminazione definitiva del supporto ad Exchange Server 2016 e 2019, alla disattivazione predefinita di ActiveX in Microsoft 365 e Office 2024, fino alla recente segnalazione di un bug critico su Outlook che comporta un anomalo consumo di CPU. Le novità si intrecciano attorno a un’unica direttrice: migliorare la sicurezza e ottimizzare l’esperienza d’uso, anche a costo di dismettere tecnologie storiche ma vulnerabili.
ActiveX viene disattivato per impostazione predefinita: Microsoft chiude una porta aperta ai malware
Microsoft ha annunciato che, a partire da aprile 2025, le versioni Windows di Microsoft 365 e Office 2024 non permetteranno più l’uso predefinito di ActiveX, una tecnologia introdotta nel 1996 per integrare oggetti interattivi nei documenti Word, Excel, PowerPoint e Visio. Gli utenti che apriranno un file contenente componenti ActiveX vedranno un avviso con la dicitura “Blocked Content: The ActiveX content in this file is blocked”, con un collegamento a ulteriori dettagli.
Questa scelta si inserisce in un percorso avviato già nel 2018, quando Microsoft iniziò a rafforzare la protezione lato Office, introducendo il supporto AMSI per l’analisi dinamica del codice in VBA, bloccando macro non firmate, disattivando XLM macros e impedendo l’esecuzione automatica degli XLL add-ins non affidabili. ActiveX rappresentava uno dei vettori d’attacco più abusati da gruppi APT, criminali e statali, che lo hanno utilizzato per distribuire malware come TrickBot e Cobalt Strike. Anche vulnerabilità zero-day note sono state sfruttate per comprometterne il motore.
Gli utenti potranno riattivare manualmente ActiveX tramite le impostazioni del Trust Center, ma Microsoft sconsiglia questa operazione salvo in casi eccezionali, ribadendo che il rischio di esecuzione di codice malevolo rimane elevato.
Outlook classico: bug provoca spike della CPU durante la digitazione
Un altro punto di attenzione è emerso all’interno di Outlook per Windows, in particolare nella sua versione classica. A partire da Outlook Versione 2406 Build 17726.20126, diversi utenti nei canali Current, Monthly Enterprise e Insider hanno segnalato consistenti aumenti dell’uso della CPU durante la scrittura di email. I picchi osservati vanno dal 30% al 50% di utilizzo della CPU, con conseguente incremento del consumo energetico e riduzione della reattività.
Secondo Microsoft, la disattivazione del controllo ortografico e degli add-in non risolve il problema, il che suggerisce che la causa sia radicata nel core della gestione dell’input testuale. L’azienda raccomanda, come soluzione temporanea, il passaggio al canale Semi-Annual, meno esposto a questo tipo di anomalie. Il cambio può essere effettuato tramite modifica al registro di sistema oppure utilizzando strumenti amministrativi come Group Policy, Office Deployment Tool, Microsoft Intune o il Microsoft 365 Admin Center.
Parallelamente, il team di sviluppo ha anche rilasciato hotfix per Office 2016 per risolvere crash causati dagli aggiornamenti di aprile 2025, inclusi problemi legati all’interazione tra client di posta e componenti di Windows aggiornati.
Exchange 2016 e 2019 verso la fine del supporto: scadenza fissata per il 14 ottobre 2025
Microsoft ha ufficializzato la data della fine del supporto per Exchange Server 2016 e 2019, fissata al 14 ottobre 2025. Dopo tale data, i due sistemi continueranno a funzionare ma non riceveranno più patch di sicurezza, aggiornamenti di stabilità o assistenza tecnica, esponendo gli ambienti aziendali a potenziali vulnerabilità non risolvibili.
La società raccomanda due alternative: la migrazione a Exchange Online o l’adozione della nuova Exchange Server Subscription Edition (SE), attesa entro la fine dell’anno. Per chi utilizza ancora Exchange 2016, è consigliato un upgrade legacy a Exchange 2019, seguito da una migrazione in-place a SE non appena disponibile. Tuttavia, l’in-place upgrade diretto da Exchange 2016 a SE non sarà supportato, a causa delle differenze strutturali tra le due piattaforme.
Microsoft ha inoltre ribadito che non verranno offerte estensioni di supporto, né programmi ESU (Extended Security Updates), come avvenuto in passato per Windows Server. La pressione è quindi rivolta agli amministratori IT, che dovranno pianificare entro i prossimi sei mesi la dismissione di ambienti Exchange on-prem obsoleti, pena la creazione di un punto di vulnerabilità critico nella propria infrastruttura.
Microsoft accelera la riforma dell’ecosistema Office: sicurezza prima della retrocompatibilità
Le tre iniziative analizzate – la disattivazione di ActiveX, la gestione dei bug in Outlook e il ritiro di Exchange 2016/2019 – rientrano in una strategia unificata di semplificazione, modernizzazione e hardening delle superfici di attacco nei prodotti Microsoft 365. Dopo aver eliminato macro VBA non firmate e ridotto la dipendenza dai componenti COM e ActiveX, l’azienda punta ora a promuovere un modello di collaborazione e comunicazione basato su Exchange Online, servizi cloud-native e formati documentali privi di componenti eseguibili attivi.
Questa trasformazione comporta inevitabilmente un impatto per gli ambienti legacy, che dovranno ristrutturare processi interni e strumenti, ma apre anche la strada a una riduzione significativa del rischio associato a campagne malware, ransomware o attività APT.
