Tre zero-day di Microsoft Defender sfruttati attivamente: le vulnerabilità BlueHammer, RedSun e UnDefend
Ricercatori di Huntress hanno rilevato lo sfruttamento in the wild di tre vulnerabilità zero-day in Microsoft Defender. Solo BlueHammer è stata patchata, mentr…
Contenuto
Scopri anche
- Vulnerabilità zero-day in Microsoft Defender: exploit BlueHammer e RedSun sfruttati in attacchi reali
- Mythos e la Casa Bianca: quando la cybersecurity diventa questione di sicurezza nazionale
- Oracle traina il rimbalzo del software: l'infrastruttura AI riaccende i mercati
- Aggiornamenti software e cybersecurity: analisi dei rischi e strategie di mitigazione
- Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
- Claude Mythos Preview: il modello AI che Anthropic rifiuta di rilasciare al pubblico
- Oracle traina il rimbalzo del software: ricavi cloud +84%, partnership AI da 300 miliardi
- Vulnerabilità di prompt injection colpiscono Microsoft Copilot e Salesforce Agentforce
- BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office
- Microsoft Patch Tuesday aprile 2026: corrette 167 vulnerabilità con due zero-day
- Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate
- Attacco hacker a Booking.com: dati utenti esposti e rischio phishing mirato
- Microsoft valuta un nuovo tier di Game Pass esclusivo per i titoli first-party
- Patch Tuesday aprile 2026: Microsoft corregge due zero-day con exploit attivi su SharePoint e Defender
- Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword
- Samsung Galaxy: patch di sicurezza aprile 2026 e beta One UI 8.5 per pieghevoli e serie S
- Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
- LinkedIn rivoluziona ricerca e feed con intelligenza artificiale generativa
- CVE-2026-35616: Fortinet corregge vulnerabilità zero-day critica in FortiClient EMS
- Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
Tre zero-day di Microsoft Defender sfruttati attivamente: le vulnerabilità BlueHammer, RedSun e UnDefend
- Origine della divulgazione e timeline degli eventi
- BlueHammer: la vulnerabilità LPE corretta
- RedSun: escalation privilegi persistente post-patch
- UnDefend: blocco degli aggiornamenti delle definizioni
- Attacchi osservati in ambiente reale
- Contesto delle vulnerabilità sistemiche
- Stato delle correzioni e raccomandazioni
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Tre vulnerabilità zero-day interessanti Microsoft Defender sono state pubblicate da un ricercatore di sicurezza noto come Chaotic Eclipse (anche noto come Nightmare-Eclipse) e sono ora sfruttate attivamente da threat actor in ambiente reale. Le falle, denominate BlueHammer, RedSun e UnDefend, consentono escalation di privilegi locali o l'interruzione delle funzioni di sicurezza del sistema operativo. Delle tre, solo BlueHammer è stata corretta da Microsoft con gli aggiornamenti di aprile 2026, mentre RedSun e UnDefend rimangono senza patch al momento della scrittura.
Origine della divulgazione e timeline degli eventi
⬆ Torna suLa pubblicazione delle vulnerabilità è avvenuta come forma di protesta contro il processo di divulgazione coordinata gestito dal Microsoft Security Response Center (MSRC). Il ricercatore, che aveva tentato inizialmente una divulgazione responsabile senza ottenere riscontro, ha deciso di rilasciare pubblicamente il codice proof-of-concept (PoC) per tutte e tre le vulnerabilità.
La timeline degli eventi mostra una progressione rapida: il 3 aprile 2026 è stato pubblicato il PoC per BlueHammer; il 7 aprile la vulnerabilità è stata divulgata pubblicamente con identificativo CVE-2026-33825; il 10 aprile Huntress ha rilevato lo sfruttamento attivo di BlueHammer; il 14 aprile Microsoft ha rilasciato la patch correttiva; infine, il 16 aprile sono stati pubblicati i PoC per RedSun e UnDefend, e Huntress ha confermato l'uso di tutte e tre le tecniche di sfruttamento in attacchi reali.
BlueHammer: la vulnerabilità LPE corretta
⬆ Torna suBlueHammer, identificata come CVE-2026-33825, è una vulnerabilità di local privilege escalation (LPE) con punteggio CVSS 7.8 (High). La vulnerabilità deriva da una race condition di tipo TOCTOU (time-of-check to time-of-use) nel motore di remediation delle minacce di Windows Defender. Il difetto consente a un utente senza privilegi di ottenere accesso a livello SYSTEM su sistemi Windows 10 e Windows 11 completamente patchati.
Il meccanismo di sfruttamento sfrutta la logica di remediation dei file di Defender. Quando il motore di protezione in tempo reale rileva un file malevolo e avvia la bonifica, l'exploit utilizza un batch opportunistic lock (oplock) per mettere in pausa l'operazione di Defender in un punto critico. Durante questa pausa, l'attaccante manipola il filesystem creando un NTFS junction point che reindirizza il percorso target di Defender verso C:\Windows\System32. Quando l'oplock viene rilasciato e Defender riprende l'operazione, segue il junction e scrive nella posizione reindirizzata con privilegi SYSTEM.
Microsoft ha corretto la vulnerabilità con gli aggiornamenti di sicurezza di aprile 2026. I ricercatori accreditati della segnalazione originale sono Zen Dodd e Yuanpei Xu, non l'autore dei PoC pubblicati.
RedSun: escalation privilegi persistente post-patch
⬆ Torna suRedSun rappresenta una seconda tecnica di local privilege escalation che persiste anche dopo l'applicazione degli aggiornamenti di aprile. La vulnerabilità sfrutta il meccanismo di cloud file rollback di Windows Defender. Quando Defender rileva un file con cloud tag, tenta di ripristinarlo nella posizione originale senza validare il percorso target.
L'exploit funziona innescando una rilevazione di Defender tramite un file appositamente predisposto, quindi sostituendolo con un cloud placeholder tramite la Windows Cloud Files API. Durante il processo di rollback, l'attaccante utilizza tecniche di manipolazione del filesystem, inclusi NTFS junction e opportunistic lock, per mettere in pausa l'esecuzione e reindirizzare il percorso target verso directory privilegiate. Quando Defender riprende l'operazione di rollback, scrive il file con privilegi SYSTEM, consentendo la sovrascrittura di binari di sistema e l'esecuzione di codice a livello SYSTEM.
Secondo quanto riportato da BleepingComputer, l'exploit RedSun è efficace su Windows 10, Windows 11 e Windows Server 2019 e versioni successive quando Windows Defender è abilitato, anche dopo l'applicazione delle patch di aprile. Il ricercatore ha spiegato che quando Windows Defender rileva un file con cloud tag, l'antivirus riscrive il file nella posizione originale, un comportamento che il PoC sfrutta per sovrascrivere file di sistema e ottenere privilegi amministrativi.
UnDefend: blocco degli aggiornamenti delle definizioni
⬆ Torna suUnDefend è una tecnica che consente a un utente standard di bloccare gli aggiornamenti delle firme di Microsoft Defender o disabilitare completamente la protezione. L'exploit opera iniettando codice nel processo MsMpEng.exe per intercettare le chiamate API verso i server di aggiornamento, bloccando in particolare le chiamate WUAPI per SearchUpdates. Il risultato è un degradamento progressivo della protezione nel tempo.
Questa vulnerabilità è particolarmente problematica in combinazione con le altre due: un attaccante potrebbe prima disabilitare gli aggiornamenti di Defender con UnDefend, poi sfruttare RedSun per l'escalation di privilegi, mantenendo l'accesso al sistema compromesso.
Attacchi osservati in ambiente reale
⬆ Torna suHuntress Labs ha confermato l'osservazione di tutte e tre le tecniche di sfruttamento in the wild. I ricercatori hanno rilevato che BlueHammer era già in uso dal 10 aprile, mentre RedSun e UnDefend sono stati osservati il 16 aprile su un dispositivo Windows compromesso tramite un utente SSLVPN compromesso. L'attività presenta caratteristiche di hands-on-keyboard threat actor activity, indicativa di minacce avanzate con intervento umano diretto.
Prima del lancio degli exploit, gli attaccanti hanno eseguito comandi tipici di enumerazione: whoami /priv per verificare i privilegi dell'utente, cmdkey /list per scoprire credenziali salvate, e net group per mappare la struttura Active Directory. Gli exploit sono stati depositati nelle cartelle Pictures e Downloads dell'utente e rinominati per evitare sospetti. Huntress ha isolato l'organizzazione colpita per prevenire ulteriori attività post-sfruttamento.
Contesto delle vulnerabilità sistemiche
⬆ Torna suCVE-2026-33825 non è un caso isolato ma parte di un pattern più ampio. Entro una finestra di 13 giorni ad aprile 2026, molteplici exploit zero-day targeting Windows Defender sono stati divulgati. La sequenza mostra come gli attaccanti possano concatenare vulnerabilità per bypassare le difese e mantenere l'accesso: BlueHammer consente escalation di privilegi, UnDefend degrada la protezione nel tempo, e RedSun introduce un percorso alternativo di escalation anche dopo il patching.
Secondo analisi citate nelle fonti, il 99% delle vulnerabilità simili rimarrebbe non patchato, con catene di exploit capaci di bypassare sandbox di renderer e sistema operativo. Questo contesto evidenzia debolezze sistemiche nell'architettura di Defender relative alla gestione delle operazioni privilegiate.
Stato delle correzioni e raccomandazioni
⬆ Torna suMicrosoft ha rilasciato la patch per BlueHammer (CVE-2026-33825) con gli aggiornamenti di sicurezza di aprile 2026. Le vulnerabilità RedSun e UnDefend non hanno attualmente una correzione disponibile. Microsoft ha confermato l'impegno a indagare sulle vulnerabilità segnalate e aggiornare i dispositivi interessati, promuovendo la divulgazione coordinata come pratica standard del settore.
Le raccomandazioni operative includono l'applicazione immediata degli aggiornamenti di aprile 2026 per Windows, l'attivazione del patching automatico per le organizzazioni, e il monitoraggio dei log di sicurezza per attività sospette. Per Windows Server è consigliato l'applicazione di patch out-of-band quando disponibili. L'integrazione con sistemi SIEM può supportare il rilevamento di anomalie.
La community di sicurezza prevede una nuova ondata di exploit che potrebbero eludere protezioni multiple. Microsoft spingerà per la divulgazione coordinata, ma la pubblicazione prematura dei PoC ha accelerato la weaponizzazione delle vulnerabilità.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa presenza di due vulnerabilità non corrette in Microsoft Defender crea una finestra di esposizione prolungata per le organizzazioni Windows. La combinazione di tecniche di escalation di privilegi con il blocco degli aggiornamenti delle definizioni potrebbe consentire agli attaccanti di mantenere l'accesso ai sistemi compromessi anche dopo l'applicazione delle patch di aprile.
- Scenario 1: Se RedSun rimane senza correzione, gli attaccanti potrebbero continuare a sfruttare il meccanismo di cloud file rollback per ottenere privilegi SYSTEM anche su sistemi completamente patchati.
- Scenario 2: La concatenazione di UnDefend con le altre tecniche potrebbe consentire un degradamento progressivo della protezione, rendendo i sistemi vulnerabili a ulteriori minacce nel tempo.
- Scenario 3: La divulgazione pubblica dei PoC potrebbe incentivare altri threat actor a replicare le tecniche, estendendo il perimetro di rischio oltre gli attacchi osservati da Huntress.
Cosa monitorare
⬆ Torna su- Attività sospette nelle cartelle Pictures e Downloads degli utenti, dove gli exploit sono stati depositati negli attacchi osservati.
- Esecuzione di comandi di enumerazione come whoami /priv, cmdkey /list e net group, tipici della fase di ricognizione pre-sfruttamento.
- Segnali di iniezione di codice nel processo MsMpEng.exe, indicativi di tentativi di manipolazione di Defender.
- Comunicazioni ufficiali di Microsoft su eventuali patch out-of-band per RedSun e UnDefend.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html
- https://www.helpnetsecurity.com/2026/04/17/microsoft-defender-zero-days-exploited/
- https://www.bleepingcomputer.com/news/security/recently-leaked-windows-zero-days-now-exploited-in-attacks/
- https://www.ampcuscyber.com/shadowopsintel/redsun-undefend-new-zero-day-exploits-targeting-microsoft-defender/
- https://prothect.it/windows/vulnerabilita-zero-day-windows-sfruttate-in-attacchi-come-proteggersi/
- https://www.picussecurity.com/resource/blog/bluehammer-redsun-windows-defender-cve-2026-33825-zero-day-vulnerability-explained
- https://www.windowsblogitalia.com/2026/04/microsoft-patch-sicurezza-vulnerabilita-aprile-2026/
In breve
- zero
- vulnerabilita
- microsoft
- cve