BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office

Un ricercatore insoddisfatto ha pubblicato l'exploit BlueHammer per una vulnerabilità Windows non ancora corretta. Contemporaneamente, Microsoft corregge sei z…

Contenuto

BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office

Scopri anche

BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office

BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office

In questo articolo:

Il panorama della sicurezza informatica ha registrato una convergenza di eventi significativi: la pubblicazione volontaria di un exploit per una vulnerabilità Windows non ancora corretta e il rilascio di un pacchetto di aggiornamenti Microsoft che corregge sei vulnerabilità zero-day già sfruttate attivamente da attori malevoli. La combinazione di questi fattori pone le organizzazioni di fronte a una superficie di attacco estesa, con vettori che spaziano dall'escalation dei privilegi locali al bypass delle protezioni di sicurezza attraverso documenti malevoli e link dannosi.

BlueHammer: l'exploit pubblicato da un ricercatore insoddisfatto

⬆ Torna su

Un codice di exploit denominato BlueHammer è stato pubblicato su GitHub per una vulnerabilità di escalation dei privilegi locale non ancora corretta in Windows. La falla, segnalata privatamente a Microsoft attraverso il Security Response Center (MSRC), consente agli attaccanti di ottenere privilegi SYSTEM o di amministratore elevato. La pubblicazione è stata opera di un ricercatore che utilizza lo pseudonimo Chaotic Eclipse (noto anche come Nightmare-Eclipse), frustrato dal modo in cui Microsoft ha gestito il processo di disclosure.

Il ricercatore ha espresso pubblicamente la propria insoddisfazione, dichiarando di non aver ricevuto una risposta adeguata da MSRC. In un post, ha affermato di non voler spiegare il funzionamento tecnico dell'exploit, lasciando ad altri il compito di analizzarlo. Ha inoltre ringraziato ironicamente la leadership di MSRC per aver reso possibile la pubblicazione.

Secondo l'analisi di Will Dormann, principale vulnerability analyst presso Tharros, BlueHammer sfrutta una combinazione di vulnerabilità TOCTOU (time-of-check to time-of-use) e path confusion. L'exploit consente a un attaccante locale di accedere al database Security Account Manager (SAM), che contiene gli hash delle password degli account locali. Una volta ottenuto questo accesso, gli attaccanti possono escalare ai privilegi SYSTEM e potenzialmente compromettere completamente la macchina.

Dormann ha confermato che l'exploit funziona, sebbene presenti bug che ne possono impedire il funzionamento affidabile. I test condotti su Windows Server hanno mostrato che il codice non ha successo su quella piattaforma, dove l'exploit aumenta i permessi da non-admin ad amministratore elevato, una protezione che richiede l'autorizzazione temporanea dell'utente per operazioni che necessitano accesso completo al sistema.

I rischi connessi alla vulnerabilità BlueHammer

⬆ Torna su

Nonostante BlueHammer richieda un attaccante locale per essere sfruttato, il rischio rimane significativo. Gli hacker possono ottenere accesso locale attraverso diversi vettori: social engineering, sfruttamento di altre vulnerabilità software, o attacchi basati sulle credenziali. Una volta ottenuto l'accesso locale, l'escalation a privilegi SYSTEM consente il controllo totale del sistema.

Microsoft ha fornito una dichiarazione ufficiale in merito alla vulnerabilità, affermando di avere un impegno verso i clienti per indagare le questioni di sicurezza segnalate e aggiornare i dispositivi interessati il prima possibile. L'azienda ha anche espresso sostegno al processo di divulgazione coordinata delle vulnerabilità, una pratica ampiamente adottata nel settore che aiuta a garantire che le questioni siano indagate e affrontate prima della divulgazione pubblica.

La definizione di zero-day di Microsoft considera questa vulnerabilità come tale, poiché non esiste ancora una patch ufficiale né un aggiornamento per risolverla.

Il Patch Tuesday di febbraio 2026: sei zero-day corretti

⬆ Torna su

L'11 febbraio 2026 Microsoft ha pubblicato il consueto pacchetto di aggiornamenti di sicurezza mensile, correggendo 58 vulnerabilità distribuite tra Windows, Office, Azure, Edge, .NET, Visual Studio, GitHub Copilot, Exchange Server, Hyper-V e Internet Explorer. Il dato più rilevante riguarda le sei vulnerabilità già sfruttate attivamente al momento del rilascio delle patch, con tre di esse note pubblicamente prima della correzione.

Il Threat Intelligence Group di Google ha collaborato all'identificazione di alcune di queste vulnerabilità. Il numero di zero-day attivamente sfruttati in un singolo rilascio mensile rappresenta un'anomalia significativa rispetto alla media stagionale: il Patch Tuesday di gennaio ne contava una sola.

CVE-2026-21510: la vulnerabilità più insidiosa

⬆ Torna su

La vulnerabilità classificata come CVE-2026-21510 colpisce la Windows Shell, il componente che gestisce l'interfaccia utente del sistema operativo. Con un punteggio CVSS di 8.8, interessa tutte le versioni supportate di Windows. Il meccanismo di attacco richiede solo che l'utente faccia clic su un collegamento malevolo per permettere all'attaccante di aggirare completamente la funzione SmartScreen, la barriera protettiva che normalmente filtra link e file sospetti.

Secondo Dustin Childs, analista della Zero Day Initiative di Trend Micro, un attacco "one-click" capace di garantire l'esecuzione di codice remoto rappresenta un evento raro nel panorama delle minacce. Google ha confermato che questa falla è oggetto di sfruttamento diffuso e attivo, precisando che un attacco riuscito consente l'esecuzione silenziosa di malware con privilegi elevati, con conseguente rischio di compromissione totale del sistema, distribuzione di ransomware o raccolta di intelligence.

CVE-2026-21513: la persistenza di MSHTML

⬆ Torna su

La seconda vulnerabilità sotto attacco attivo, CVE-2026-21513, riguarda MSHTML, il motore proprietario del browser Internet Explorer. Nonostante Microsoft abbia ufficialmente dismesso il browser da anni, il motore sopravvive nelle versioni più recenti di Windows per garantire la compatibilità con applicazioni legacy. Questa scelta progettuale continua a rappresentare un vettore di attacco sfruttabile.

La vulnerabilità, con punteggio CVSS di 8.8, consente agli attaccanti di bypassare le protezioni di sicurezza per installare malware. La persistenza di MSHTML come superficie di attacco illustra una problematica strutturale: finché centinaia di milioni di sistemi dipenderanno da codice legacy mantenuto per ragioni di retrocompatibilità, la superficie di attacco rimarrà intrinsecamente ampia.

Le altre vulnerabilità zero-day corrette

⬆ Torna su

La CVE-2026-21514 colpisce Microsoft Word e consente l'aggiramento delle protezioni sui controlli COM/OLE pericolosi attraverso l'apertura di un documento appositamente confezionato. Il riquadro di anteprima non costituisce un vettore di attacco, tuttavia gli utenti sono notoriamente propensi ad aprire documenti ricevuti via email senza verifiche approfondite.

La CVE-2026-21519 riguarda il Desktop Window Manager, il componente di Windows che gestisce la composizione grafica delle finestre, e consente l'elevazione dei privilegi fino al livello SYSTEM. È il secondo mese consecutivo in cui una vulnerabilità zero-day colpisce il DWM, circostanza che suggerisce come la patch di gennaio non abbia risolto completamente il problema sottostante.

La CVE-2026-21533 colpisce i Remote Desktop Services di Windows e consente anch'essa l'elevazione a privilegi SYSTEM. Microsoft ha identificato la causa nella gestione impropria dei privilegi. I sistemi con RDS attivo sono tipicamente server di alto valore, il che rende questa falla particolarmente appetibile per il movimento laterale post-intrusione.

La CVE-2026-21525 è una vulnerabilità di tipo denial-of-service nel Remote Access Connection Manager, il servizio che gestisce le connessioni VPN verso le reti aziendali. Vedere un bug DoS attivamente sfruttato è inusuale e suggerisce che venga impiegato in catene di attacco più complesse, dove l'interruzione mirata di un servizio specifico serve a creare le condizioni per altre fasi dell'operazione offensiva.

Vulnerabilità nell'ecosistema cloud e AI

⬆ Torna su

Tra le vulnerabilità classificate come critiche figurano problemi significativi nell'ecosistema cloud Microsoft. Azure Front Door presenta una falla con punteggio CVSS 9.8, il più alto dell'intero rilascio. Azure Arc e Azure Function sono stati interessati da bug che Microsoft dichiara di aver già risolto lato server. Due vulnerabilità critiche nei container confidenziali ACI consentono rispettivamente la fuga dal container e la divulgazione di token e chiavi segrete.

Microsoft ha corretto diverse vulnerabilità di esecuzione di codice remoto in GitHub Copilot e negli ambienti di sviluppo integrati Visual Studio Code, Visual Studio e JetBrains. Secondo Kev Breen di Immersive Labs, queste falle derivano da vulnerabilità di command injection attivabili tramite prompt injection, ovvero la capacità di indurre l'agente IA a eseguire operazioni non previste.

Gli sviluppatori sono bersagli ad alto valore perché dispongono di accesso a chiavi API, credenziali e segreti che fungono da chiave d'accesso a infrastrutture critiche, compresi ambienti cloud privilegiati su AWS o Azure. Quando le organizzazioni consentono agli sviluppatori e alle pipeline di automazione di utilizzare modelli linguistici di grandi dimensioni e agenti IA, un prompt malevolo può avere un impatto significativo.

Il contesto globale delle vulnerabilità zero-day

⬆ Torna su

Secondo i dati del Threat Intelligence Group di Google, nel 2024 gli attaccanti hanno sfruttato 75 vulnerabilità zero-day, in diminuzione rispetto alle 98 del 2023 ma comunque superiori alle 63 riportate nel 2022. Il 44% di questi zero-day ha preso di mira le piattaforme enterprise, in aumento rispetto al 37% del 2023, con quasi due terzi degli zero-day enterprise che hanno colpito prodotti di sicurezza e networking.

Una vulnerabilità zero-day è una falla nel software, hardware o protocolli che non è ancora stata scoperta o corretta dagli sviluppatori. Poiché non esiste una correzione disponibile, gli attaccanti hanno una finestra temporale per sfruttare la debolezza prima che diventi pubblicamente nota. Il termine "zero-day" deriva dal fatto che gli sviluppatori hanno zero giorni per reagire dopo che gli hacker hanno sfruttato la vulnerabilità.

Il mercato degli exploit zero-day

⬆ Torna su

Il commercio delle vulnerabilità zero-day dà vita a un mercato articolato con tre principali tipologie: mercati diretti, mercati intermediati e mercato nero. I mercati diretti includono i programmi di bug bounty come il Chrome Vulnerability Reward Program di Google, dove i ricercatori ricevono ricompense per l'identificazione di vulnerabilità. I mercati intermediati coinvolgono broker che validano le vulnerabilità scoperte e retribuiscono gli scopritori; esempi includono Zerodium, ZeroPoint e Exodus Intelligence.

Il mercato nero offre remunerazioni superiori ma comporta rischi legati all'illegalità. I prezzi delle vulnerabilità zero-day dipendono da diversi fattori: complessità, facilità di sfruttamento, diffusione del software interessato. Gli exploit "zero-click", che non richiedono interazione da parte dell'utente, o quelli che colpiscono software molto diffusi come SAP, raggiungono valori estremamente alti, fino a 500.000 dollari secondo alcune stime.

Secondo ricercatori accademici, il valore di uno zero-day sul mercato nero può essere da dieci a cento volte superiore a quello dei mercati diretti o intermediati. Questa asimmetria sta portando le aziende ad aumentare le ricompense per i ricercatori che individuano bug di questo tipo.

Casi storici di exploit zero-day

⬆ Torna su

Stuxnet, il celebre worm che attaccò i sistemi SCADA della centrale di arricchimento dell'uranio di Natanz in Iran, sfruttava quattro vulnerabilità zero-day di Windows. L'operazione Aurora del gennaio 2010 prese di mira diverse aziende americane tra cui Google, Juniper Networks, Morgan Stanley e Yahoo, utilizzando vulnerabilità zero-day di Internet Explorer. L'attacco a RSA SecurID del 2011 sfruttò una vulnerabilità zero-day in Adobe Flash per introdurre il sistema di controllo remoto Poison Ivy nel network aziendale.

Raccomandazioni per la mitigazione

⬆ Torna su

Le principali raccomandazioni per affrontare le minacce legate agli zero-day includono l'applicazione immediata di tutte le patch di sicurezza disponibili, la verifica delle dipendenze dei software e il rafforzamento dei controlli su autenticazione e gestione degli accessi. Per le organizzazioni che dipendono dall'ecosistema Microsoft, l'applicazione tempestiva delle patch rappresenta una necessità operativa urgente.

Un approccio efficace richiede una robusta postura di sicurezza che preveda un patch management efficace e rapido, affiancato da soluzioni di intrusion detection e prevention. L'adozione di strumenti antivirus avanzati con machine learning, rilevamento comportamentale e mitigazione degli exploit contribuisce a ridurre l'esposizione alle minacce sconosciute. L'aggiornamento regolare dei programmi e l'eliminazione di software obsoleto non più supportato riduce ulteriormente la superficie di attacco.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La pubblicazione di BlueHammer evidenzia una tensione crescente tra ricercatori e fornitori nella gestione coordinata delle vulnerabilità. L'assenza di una patch per una falla già sfruttabile localmente amplia la finestra di esposizione per le organizzazioni.

  • Scenario 1: Ulteriori ricercatori potrebbero optare per la divulgazione pubblica in caso di comunicazione insufficiente con i vendor, replicando il caso BlueHammer.
  • Scenario 2: Catene di attacco combinate potrebbero integrare l'escalation dei privilegi con altre falle, come quelle che colpiscono Windows Shell e Desktop Window Manager.
  • Scenario 3: I componenti legacy come MSHTML continueranno a rappresentare un vettore stabile per gli attaccanti finché la retrocompatibilità ne garantirà la presenza nei sistemi.

Cosa monitorare

⬆ Torna su
  • Aggiornamenti di sicurezza per Windows e Office, con priorità alle correzioni per SmartScreen e Desktop Window Manager.
  • Segnali di sfruttamento su MSHTML e su servizi RDS esposti, tipici target per movimento laterale.
  • Comunicazioni ufficiali Microsoft su tempistiche e gestione delle vulnerabilità segnalate.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • vulnerabilita
  • cybersecurity
  • microsoft
  • exploit

Link utili

Apri l'articolo su DeafNews