CISA avvisa: falla Windows BlueHammer sfruttata dai ransomware

CISA segnala BlueHammer, falla di escalation in Microsoft Defender, come usata in campagne ransomware. Il rischio maggiore riguarda host Windows non aggiornati e accessi locali già compromessi.

La falla BlueHammer in Microsoft Defender ha ormai superato la soglia che separa una vulnerabilità grave da un problema urgente. CISA, Cybersecurity and Infrastructure Security Agency, agenzia federale statunitense parte del Dipartimento della Sicurezza Interna responsabile per la sicurezza informatica e delle infrastrutture su suolo statunitense l’ha indicata come sfruttata anche in campagne ransomware. Il bug, tracciato come CVE-2026-33825, riguarda un’escalation locale dei privilegi e colpisce un componente che molte organizzazioni considerano parte della protezione di base di Windows.

All’inizio di aprile 2026, il ricercatore noto come Nightmare Eclipse ha pubblicato dettagli tecnici e codice proof-of-concept per BlueHammer, contestando il modo in cui il Microsoft Security Response Center (MSRC) gestisce alcune segnalazioni relative a problemi di sicurezza. Microsoft ha corretto la vulnerabilità il 14 aprile 2026, nel Patch Tuesday di aprile, ma la finestra tra la pubblicazione dell’exploit e il rilascio della patch ha offerto ai gruppi criminali un’occasione concreta.

A distanza di pochi giorni sono state rilevate attività compatibili con sfruttamento reale, non semplici test di laboratorio. CISA ha poi inserito la CVE nel catalogo Known Exploited Vulnerabilities il 22 aprile, imponendo alle agenzie federali civili statunitensi di intervenire entro il 7 maggio. Ora l’aggiornamento più pesante: la vulnerabilità risulta collegata anche a campagne ransomware.

Perché BlueHammer interessa ai gruppi ransomware

Come abbiamo spesso ricordato in altri nostri articoli, la cifratura dei file da parte di un ransomware è solo l’ultimo anello di una catena che inizia molto prima.

Gli aggressori si industriano per guadagnare un accesso iniziale, per effettuare una ricognizione dei sistemi altrui, rubano credenziali, effettuano movimenti laterali in modo da estendere l’attacco ad altre macchine locali, disattivano o indeboliscono le difese (ad esempio i software di sicurezza) e solo alla fine attivano la cifratura dei dati chiedendo poi un riscatto in denaro.

Una vulnerabilità di Local Privilege Escalation come BlueHammer si inserisce proprio in questa catena: non serve per guadagnare l’accesso a un sistema esposto sulla rete Internet; serve a trasformare un accesso con privilegi limitati in un accesso molto più pericoloso.

Credenziali rubate, VPN compromesse, sessioni RDP mal protette, malware eseguito nel profilo utente, strumenti di supporto abusati dai criminali rappresentano strumenti preziosi per i criminali. Da lì, però, si passa all’acquisizione di privilegi più elevati: se l’attaccante riesce a ottenere privilegi SYSTEM, può eseguire comandi con il livello massimo disponibile in ambiente Windows locale, manipolare servizi, creare processi privilegiati, interferire con strumenti di sicurezza e accedere ad aree del sistema normalmente precluse.

Il bug alla base di BlueHammer può consentire a un aggressore locale di raggiungere il database SAM, cioè Security Account Manager, dove Windows conserva gli hash delle password degli account locali. Non significa necessariamente leggere password in chiaro; significa però mettere le mani su materiale utile per attacchi di cracking offline, pass-the-hash in certi scenari e ulteriori tentativi di compromissione. In una rete aziendale, anche un singolo host può diventare una leva per una attacco potenzialmente devastante.

Il ruolo di Microsoft Defender e il problema dei privilegi

Microsoft descrive CVE-2026-33825 come una vulnerabilità causata da “insufficient granularity of access control” in Microsoft Defender. La formulazione è asciutta, ma il significato tecnico è importante: una funzione o un percorso operativo utilizzato da Microsoft Defender non isola in modo sufficientemente rigoroso ciò che un utente con privilegi limitati può fare.

Defender opera spesso con privilegi elevati perché deve analizzare file in aree “sensibili”, mettere in quarantena oggetti sospetti, ripristinare elementi, rimuovere componenti malevoli e interagire con il motore antimalware. È normale per un prodotto di sicurezza: il rischio nasce quando un attaccante riesce a condizionare una di queste operazioni e a farla eseguire in un ambito non previsto.

Un processo privilegiato prende una decisione su un oggetto, poi esegue un’azione più tardi o in una posizione controllabile dall’utente. Se tra controllo e uso cambia qualcosa, l’attaccante può sfruttare questo comportamento a suo vantaggio, ed è esattamente ciò che fa BlueHammer.

Will Dormann, analista di Tharros, ha osservato che lo sfruttamento di BlueHammer non funziona sempre e in ogni caso. Tuttavia, gli operatori ransomware hanno tempo, strumenti di automazione, toolset già pronti e spesso accesso interattivo alle macchine compromesse.

L’inserimento nel catalogo Known Exploited Vulnerabilities

Il catalogo Known Exploited Vulnerabilities mantenuto da CISA non è un semplice elenco informativo.

Per le agenzie federali civili statunitensi comporta obblighi precisi in base alle direttive operative vincolanti; per aziende private, pubbliche amministrazioni e fornitori diventa comunque un segnale molto forte di priorità.

Microsoft, secondo le informazioni disponibili, ha pubblicato l’advisory e la patch, ma non risulta aver contrassegnato la falla BlueHammer come sfruttata attivamente nella propria classificazione.

Questa differenza tra vendor e CISA non è rara: lo sviluppatore può avere criteri interni specifici per indicare lo sfruttamento; CISA può basarsi su evidenze raccolte da incidenti, partner, agenzie e intelligence tecnica.

Ti consigliamo anche

Link copiato negli appunti