Vulnerabilità zero-day in Microsoft Defender: exploit BlueHammer e RedSun sfruttati in attacchi reali

Tre exploit zero-day targeting Microsoft Defender sono stati pubblicati e almeno due vengono già sfruttati in attacchi reali. Analisi tecnica di BlueHammer (CV…

Contenuto

Vulnerabilità zero-day in Microsoft Defender: exploit BlueHammer e RedSun sfruttati in attacchi reali

Scopri anche

Vulnerabilità zero-day in Microsoft Defender: exploit BlueHammer e RedSun sfruttati in attacchi reali

Vulnerabilità zero-day in Microsoft Defender: exploit BlueHammer e RedSun sfruttati in attacchi reali

In questo articolo:

Un ricercatore di sicurezza noto con lo pseudonimo "Chaotic Eclipse" o "Nightmare-Eclipse" ha pubblicato tra l'inizio e la metà di aprile 2026 tre exploit zero-day targeting Microsoft Defender, rendendo pubblico il codice proof-of-concept su GitHub. I tre strumenti, denominati BlueHammer, RedSun e UnDefend, sfruttano diverse vulnerabilità nel motore di protezione antivirus integrato in Windows. Huntress Labs ha confermato di aver osservato tutti e tre gli exploit distribuiti in attacchi reali, con evidenza di "attività hands-on-keyboard" da parte di threat actor su sistemi compromessi tramite VPN SSL.

BlueHammer: CVE-2026-33825 e la race condition nel motore di remediation

⬆ Torna su

La prima vulnerabilità, battezzata BlueHammer, è stata formalmente classificata come CVE-2026-33825 con un punteggio CVSS 3.1 di 7.8 ("Alto"). La falla consente la local privilege escalation (LPE): un utente non privilegiato può ottenere accesso a livello SYSTEM su sistemi Windows 10 e Windows 11 completamente aggiornati al momento della divulgazione. La vulnerabilità deriva da una race condition di tipo TOCTOU (time-of-check to time-of-use) nella logica di remediation di Windows Defender.

Il meccanismo di attacco sfrutta il comportamento del Defender durante la bonifica di file malevoli. Quando l'antivirus rileva un file dannoso e ne avvia la rimozione, l'exploit utilizza un batch opportunistic lock (oplock) per mettere in pausa l'operazione di scrittura in un momento critico. Durante questa sospensione, l'attaccante crea un NTFS junction point che reindirizza il percorso target dalla directory temporanea controllata dall'attaccante verso C:\Windows\System32. Quando l'oplock viene rilasciato e Defender riprende l'operazione con privilegi SYSTEM, segue il junction e scrive il file nella posizione reindirizzata, sovrascrivendo un eseguibile di sistema con un payload malevolo.

Microsoft ha rilasciato una patch per CVE-2026-33825 nell'aggiornamento di sicurezza di aprile 2026 (Patch Tuesday). Le versioni vulnerabili includono tutte le build della piattaforma antimalware fino alla 4.18.26020.6, mentre la correzione completa è disponibile nella versione 4.18.26030.3011 e successive. La patch rimuove la vulnerabilità confermata, ma non risolve la problematica architetturale sottostante che ha permesso lo sviluppo di exploit simili.

RedSun: escalation di privilegi tramite Cloud Files API

⬆ Torna su

Pochi giorni dopo BlueHammer, lo stesso ricercatore ha pubblicato RedSun, un secondo exploit LPE che rimane senza patch al momento della stesura. RedSun sfrutta il meccanismo di "rollback" dei file cloud in Windows Defender. Quando Defender rileva un file contrassegnato con un "cloud tag", tenta di ripristinarlo nella sua posizione originale senza validare adeguatamente il percorso target. Come spiegato dal ricercatore, "quando Windows Defender si accorge che un file malevolo ha un cloud tag, per una ragione insensata, l'antivirus decide che è una buona idea riscrivere il file nella sua posizione originale".

L'exploit combina la Windows Cloud Files API con tecniche di filesystem manipulation. L'attaccante posiziona un file che triggera una rilevazione, quindi lo sostituisce con un cloud placeholder. Quando Defender avvia il processo di rollback, l'exploit utilizza junction NTFS e opportunistic lock per mettere in pausa l'esecuzione e reindirizzare il percorso verso C:\Windows\System32. Defender riprende l'operazione con privilegi SYSTEM, scrivendo il file nella posizione privilegiata. Il ricercatore Will Dormann ha confermato il funzionamento dell'exploit su Windows 10, Windows 11 e Windows Server, definendolo con l'espressione "game over" una volta raggiunti i privilegi SYSTEM.

Secondo le verifiche condotte da Heise Security su sistemi di test aggiornati con le patch di aprile, l'exploit RedSun continua a funzionare. La vulnerabilità non è stata ancora corretta da Microsoft, rendendo i sistemi esposti anche dopo l'applicazione degli aggiornamenti di sicurezza più recenti.

UnDefend: disabilitazione degli aggiornamenti Defender

⬆ Torna su

Il terzo strumento pubblicato, denominato UnDefend, rappresenta una categoria diversa di minaccia. Non è un exploit di privilege escalation, ma un tool di denial-of-service targeting il meccanismo di aggiornamento di Microsoft Defender. Pubblicato sempre su GitHub da Chaotic Eclipse, UnDefend può essere eseguito da un utente standard senza privilegi amministrativi e opera in due modalità: passiva e aggressiva.

Nella modalità passiva, il tool sfrutta il fatto che gli aggiornamenti della piattaforma Defender non vengono rilasciati con la stessa frequenza degli aggiornamenti delle firme. In modalità aggressiva, il tool può disabilitare completamente Windows Defender, rendendo il sistema privo di protezione in tempo reale. La combinazione di UnDefend con gli exploit di escalation dei privilegi crea uno scenario di attacco a catena: un attaccante può prima disabilitare le difese e poi utilizzare BlueHammer o RedSun per ottenere il controllo completo del sistema.

La motivazione della divulgazione: conflitto con MSRC

⬆ Torna su

La pubblicazione dei tre exploit non segue la pratica della divulgazione responsabile coordinata. Il ricercatore ha reso pubblico il codice come forma di protesta contro la gestione delle segnalazioni da parte del Microsoft Security Response Center (MSRC). Secondo quanto riportato, Chaotic Eclipse aveva segnalato la vulnerabilità attraverso i canali ufficiali mesi prima della divulgazione pubblica, ma avrebbe ricevuto una risposta considerata inadeguata, con tempistiche poco chiare e una valutazione errata della gravità del problema.

I ricercatori di sicurezza Zen Dodd e Yuanpei XU hanno contribuito alla segnalazione formale di CVE-2026-33825, comunicando il problema a Microsoft il 14 aprile 2026. Tuttavia, secondo i commenti nella community di sicurezza, lo stesso ricercatore aveva notificato a MSRC la vulnerabilità già quattro mesi prima senza ottenere riscontro. La pubblicazione di BlueHammer avvenne il 7 aprile con dettagli "fortemente offuscati", seguita dalla versione più chiara di RedSun quando anche quella segnalazione non produsse azioni correttive.

Microsoft ha dichiarato di avere "un impegno verso i clienti di esaminare i problemi di sicurezza segnalati e aggiornare i dispositivi interessati per proteggerli il prima possibile", sostenendo inoltre "la divulgazione coordinata delle vulnerabilità, una pratica ampiamente adottata nel settore". L'azienda non ha commentato specificamente le accuse di mancato follow-up sulle segnalazioni.

Implicazioni tecniche e vettori di attacco

⬆ Torna su

I tre exploit illustrano un pattern sistematico di debolezze nell'architettura di Windows Defender. La combinazione di un LPE tramite remediation logic, un tool che degrada la protezione nel tempo e un secondo percorso di escalation attivo anche dopo il patching evidenzia come un attaccante possa concatenare vulnerabilità per bypassare le difese e mantenere l'accesso.

Il vettore di attacco è locale, il che significa che l'attaccante deve avere già un punto di appoggio sul sistema target. Tuttavia, come osservato da Huntress Labs, questo accesso iniziale può essere ottenuto attraverso phishing, malware, credenziali VPN compromesse o altri vettori. Una volta dentro, la capacità di elevarsi a SYSTEM permette di disabilitare controlli di sicurezza, installare backdoor persistenti e muoversi lateralmente nella rete aziendale.

La compromissione di un singolo endpoint può quindi trasformarsi in un punto di partenza per il controllo completo del dominio aziendale. I gruppi ransomware potrebbero sfruttare queste vulnerabilità per cifrare interi sistemi e rubare password salvate, sessioni browser e token di autenticazione.

Stato delle patch e mitigazioni temporanee

⬆ Torna su

Al momento attuale, solo BlueHammer (CVE-2026-33825) ha ricevuto una patch ufficiale. RedSun e UnDefend rimangono vulnerabilità zero-day prive di correzione. Gli amministratori di sistema dovrebbero verificare che la versione di Microsoft Defender sia aggiornata almeno alla 4.18.26030.3011 per mitigare CVE-2026-33825.

Per RedSun e UnDefend, non esistono patch ufficiali. Tuttavia, alcune configurazioni possono ridurre il rischio. Modificando le preferenze di Defender tramite PowerShell per impostare l'azione predefinita su "eliminazione immediata" invece di "spostamento in quarantena", è possibile impedire il funzionamento di exploit basati sul meccanismo di remediation. Il comando Set-MpPreference -HighThreatDefaultAction 3 -LowThreatDefaultAction 3 -ModerateThreatDefaultAction 3 -SevereThreatDefaultAction 3 -UnknownThreatDefaultAction 3 forza l'eliminazione immediata dei file classificati come malevoli, prevenendo le race condition sfruttate da BlueHammer e RedSun. Questa configurazione comporta rischi di falsi positivi, ma rappresenta una mitigazione efficace fino alla disponibilità di patch ufficiali.

Rilevabilità e limitazioni delle difese tradizionali

⬆ Torna su

Il proof-of-concept per BlueHammer, sviluppato in linguaggio C e distribuito come binario denominato "FunnyApp.exe", è stato inizialmente rilevato solo da una parte dei vendor antivirus nelle ore successive alla pubblicazione. La possibilità di ricompilare il codice per generare varianti con hash differenti limita l'efficacia delle difese basate su firme. Gli exploit basati su race condition risultano inoltre difficili da rilevare per le soluzioni EDR, poiché le operazioni avvengono in finestre temporali estremamente brevi e utilizzano API legittime del sistema operativo.

La disponibilità pubblica del codice riduce drasticamente la barriera tecnica per attori meno esperti, accelerando il passaggio da vulnerabilità teorica a campagne di attacco attive. La finestra di esposizione per RedSun e UnDefend rimane aperta, con milioni di dispositivi Windows potenzialmente vulnerabili fino al rilascio di patch correttive da parte di Microsoft.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La disponibilità pubblica di tre exploit funzionanti per Microsoft Defender crea una finestra di esposizione particolarmente critica. La combinazione di escalation dei privilegi con la possibilità di disabilitare le difese amplifica il potenziale danno, specialmente in contesti aziendali dove un singolo endpoint compromesso può fungere da base per movimenti laterali. La dinamica di divulgazione non coordinata suggerisce ulteriori pubblicazioni se le risposte del vendor non soddisferanno la community.

  • Scenario 1: Microsoft accelera il rilascio di una patch per RedSun nei prossimi aggiornamenti straordinari, riducendo l'esposizione dei sistemi Windows 10 e 11.
  • Scenario 2: Gruppi ransomware integrano BlueHammer e RedSun nelle catene di attacco, sfruttando l'accesso tramite VPN compromesse per ottenere privilegi SYSTEM.
  • Scenario 3: La disputa con MSRC porta alla pubblicazione di ulteriori vulnerabilità simili, estendendo la superficie di attacco legata alla logica di remediation.

Cosa monitorare

⬆ Torna su
  • Aggiornamenti di sicurezza Microsoft oltre al Patch Tuesday standard.
  • Segnalazioni di attività malevole che combinano UnDefend con gli exploit LPE.
  • Comunicazioni ufficiali di MSRC sulle vulnerabilità ancora non corrette.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • zero
  • cybersecurity
  • microsoft
  • exploit

Link utili

Apri l'articolo su DeafNews