Quando una vulnerabilità critica di Windows finisce nel catalogo KEV (Known Exploited Vulnerabilities) della CISA con scadenza di patching a due settimane, vuol dire che la situazione è seria. È quanto accaduto con la vulnerabilità CVE-2026-33825, il difetto di privilege escalation in Microsoft Defender che la comunità della sicurezza conosce ormai con il nome di “BlueHammer” e che le agenzie federali civili statunitensi, sotto indicazioni CISA, devono aver risolto entro il 7 maggio 2026.

La storia di BlueHammer ha un prologo non convenzionale. Il ricercatore noto online come “Chaotic Eclipse” ha pubblicato il proof-of-concept della vulnerabilità il 7 aprile, una settimana prima che Microsoft rilasciasse la patch ufficiale nell’ambito del Patch Tuesday mensile. Una protesta esplicita contro le modalità con cui il Microsoft Security Response Center aveva gestito il processo di disclosure (tema che divide periodicamente la community).

Il caso si è complicato rapidamente perché Chaotic Eclipse non si è fermato a BlueHammer. Insieme alla prima falla, ha infatti divulgato anche RedSun, un secondo difetto di privilege escalation in Microsoft Defender che consente di ottenere privilegi SYSTEM, e UnDefend, una terza vulnerabilità sfruttabile da un utente standard per bloccare gli aggiornamenti delle definizioni del medesimo antivirus. Al momento della pubblicazione, tutte e tre le vulnerabilità soddisfacevano tecnicamente la definizione Microsoft di zero-day (nessuna patch disponibile e sfruttamento potenzialmente già in corso).

La transizione da “codice pubblicato” ad “attacco documentato” ha impiegato pochissimi giorni. Il 16 aprile i ricercatori di Huntress Labs hanno rilevato prove concrete di sfruttamento attivo delle vulnerabilità divulgate, precisando che l’attività osservata non assomigliava al testing isolato di un PoC, ma presentava tutti i caratteri di un’intrusione strutturata con “hands-on-keyboard threat actor activity”, ovvero un operatore umano che interagiva direttamente con i sistemi compromessi in tempo reale.

Defender BlueHammer

Il quadro emerso dall’analisi di Huntress è preoccupante per più di un motivo. Nei sistemi colpiti, sono stati infatti rilevati accessi sospetti tramite FortiGate SSL VPN riconducibili a un indirizzo IP geolocalizzato in Russia, con ulteriore infrastruttura distribuita in altre aree geografiche. Non è un’attribuzione definitiva, ma è sufficiente a collocare l’operazione in un contesto di minaccia persistente avanzata piuttosto che in quello di un attacco opportunistico.

Cosa rende BlueHammer pericolosa

La CVE-2026-33825 è classificata ad alta severità e sfrutta una debolezza nel controllo granulare degli accessi all’interno di Microsoft Defender. Un attore con privilegi locali limitati può scalare fino ai permessi SYSTEM senza necessità di interazione da parte dell’utente, il che la rende particolarmente appetibile come secondo stadio di una catena di compromissione.

La CISA ha ricordato che vulnerabilità di questo tipo rappresentano “vettori di attacco frequenti per i cyber attori malevoli e pongono rischi significativi all’ecosistema federale”. Ha quindi applicato l’obbligoche vincola le agenzie federali ad aggiornare i sistemi entro i termini stabiliti (in questo caso, il 7 maggio) o a interromperne l’uso qualora le mitigazioni non siano disponibili.

Il caso BlueHammer non è comunque isolato. Solo una settimana prima, la stessa CISA aveva segnalato come attivamente sfruttata la CVE-2025-60710, una vulnerabilità di privilege escalation nel Windows Task Host che impatta Windows 11 e Windows Server 2025 con la stessa conseguenza, ovvero l’accesso ai privilegi SYSTEM per attori privi di autorizzazioni elevate. Due avvisi in sette giorni sullo stesso vettore di attacco (privilege escalation su Windows) confermano che si tratta di una superficie sotto pressione costante.

Per i team IT e security che gestiscono ambienti Windows, la risposta immediata di fronte al pericolo di BlueHammer è l’applicazione degli aggiornamenti distribuiti con il Patch Tuesday del 14 aprile. Per chi opera in settori regolati o gestisce infrastrutture critiche, vale la pena estendere l’analisi oltre il patching e verificare eventuali accessi anomali alle VPN, controllare i log di Defender per attività insolite e valutare se nei propri ambienti siano presenti le condizioni di accesso locale che rendono sfruttabile questa classe di vulnerabilità.

(Immagine in apertura: Shutterstock)