Introduzione per utenti non tecnici
Windows Defender, il programma di sicurezza integrato in Windows, è stato trasformato in un’arma dagli attaccanti. Tre vulnerabilità pubblicamente disponibili permettono ai malintenzionati di ottenere il controllo totale del vostro computer e disabilitare le difese di sicurezza. La buona notizia? Microsoft ha già rilasciato una patch per una delle tre vulnerabilità, e potete proteggervi applicando gli aggiornamenti di sicurezza di aprile 2026 e abilitando l’autenticazione a due fattori su tutti i vostri accessi remoti.
Come gli attaccanti sfruttano Windows Defender
Gli attaccanti utilizzano tre exploit denominati BlueHammer, RedSun e UnDefend per compromettere i sistemi Windows. Questi exploit non richiedono tecniche sofisticate: sfruttano semplicemente il modo in cui Windows Defender interagisce con il file system durante le operazioni di pulizia e aggiornamento.
Il primo exploit, BlueHammer, è stato utilizzato come attacco zero-day contro la vulnerabilità CVE-2026-33825. Questa falla si basa su una condizione di race condition nel flusso di lavoro di aggiornamento delle firme di Defender. In termini semplici, quando Defender rileva un file sospetto e decide di riscriverlo, un attaccante può vincere una “gara” per reindirizzare quella riscrittura verso una posizione controllata dal malintenzionato, ottenendo così accesso di livello SYSTEM.
I tre exploit spiegati
BlueHammer: la vulnerabilità patchata
BlueHammer sfrutta una vulnerabilità nel meccanismo di aggiornamento delle firme di Defender. Microsoft ha rilasciato una patch per questa vulnerabilità nell’aggiornamento di sicurezza di aprile 2026. Tuttavia, la patch non protegge contro gli altri due exploit.
RedSun: ancora vulnerabile
RedSun funziona in modo simile a BlueHammer ma prende di mira TieringEngineService.exe, un processo di background di Defender che classifica e prioritizza le minacce rilevate. Gli attaccanti possono attivare la vulnerabilità utilizzando una stringa di test EICAR, comunemente usata dai team di sicurezza per verificare che l’antivirus funzioni correttamente. Quando Defender rileva questa stringa, avvia un ciclo di bonifica, e RedSun vince la race condition per reindirizzare la riscrittura del file, permettendo al codice malevolo di eseguirsi con privilegi di SYSTEM.
Questo exploit funziona contro sistemi Windows 10, Windows 11 e Windows Server 2019 completamente aggiornati, inclusi quelli con gli ultimi aggiornamenti di Patch Tuesday.
UnDefend: il sabotaggio silenzioso
UnDefend è un exploit che gli attaccanti possono distribuire dopo aver ottenuto l’accesso di SYSTEM tramite BlueHammer o RedSun. Questo strumento degrada progressivamente la capacità di Defender di rilevare nuove minacce affamando il sistema di intelligence sulle minacce attuali, senza generare gli avvisi ovvi che attiverebbero gli allarmi.
Attacchi mirati già in corso
I ricercatori di Huntress Labs hanno osservato attività di attacco mirata che utilizza tutti e tre gli exploit. L’analisi suggerisce che gli attaccanti stanno conducendo intrusioni deliberate e manuali, eseguendo comandi di enumerazione dei privilegi prima di tentare lo sfruttamento.
Gli attaccanti stanno preparando i file binari in directory con basso rumore, come le cartelle Immagini e sottocartelle a due lettere dentro Download, utilizzando nomi di file originali e varianti rinominate progettate per eludere il rilevamento. I binari rinominati hanno ridotto significativamente i tassi di rilevamento su VirusTotal.
Come proteggersi
Ecco le azioni concrete che dovreste intraprendere:
- Applicare gli aggiornamenti di aprile 2026: Questi chiudono la vulnerabilità BlueHammer
- Verificare la versione di Antimalware Platform: Assicuratevi che sia presente la versione 4.18.26050.3011 o successiva
- Abilitare l’autenticazione a due fattori: Su ogni VPN e percorso di accesso remoto
- Bloccare l’esecuzione da directory scrivibili: Come Download, Immagini e Temp
- Baseline dell’hash di TieringEngineService.exe: In modo che qualsiasi modifica sia visibile immediatamente
La sfida dell’accesso iniziale
Per gli attaccanti, la parte più difficile non è lo sfruttamento delle vulnerabilità, ma ottenere l’accesso iniziale al sistema. Tutti i casi osservati da Huntress hanno iniziato con un account VPN SSL compromesso senza autenticazione a più fattori. Una volta che un attaccante ha un qualsiasi punto di appoggio, convertirlo a SYSTEM con RedSun è banale.
Technical Deep Dive
Analisi delle vulnerabilità di race condition
Tutti e tre gli exploit sfruttano debolezze fondamentali nella validazione dei percorsi I/O di Defender durante le operazioni privilegiate. Ogni exploit sfrutta una versione diversa dello stesso divario di sicurezza:
BlueHammer abusa di uno snapshot VSS montato durante il flusso di lavoro di aggiornamento della firma di Defender. La vulnerabilità risiede nel fatto che Defender non valida adeguatamente il percorso del file nel momento dell’esecuzione, permettendo agli attaccanti di vincere una race condition tra il momento in cui Defender decide di riscrivere un file e il momento in cui effettivamente lo riscrive.
RedSun sfrutta una scrittura non convalidata durante la bonifica dei file cloud. Quando Defender utilizza Cloud Files Infrastructure per eseguire operazioni di bonifica, non convalida completamente il percorso di destinazione, permettendo ai file di essere reindirizzati a posizioni controllate dall’attaccante.
UnDefend manomette la pipeline di aggiornamento della firma di Defender mentre segnala l’endpoint come sano alla console di gestione. Questo crea una divergenza tra lo stato effettivo del sistema e lo stato segnalato, permettendo agli attaccanti di degradare silenziosamente le capacità di rilevamento.
Meccanismi di sfruttamento approfonditi
La radice del problema è che Defender opera all’interno del limite di trust che sta tentando di far rispettare. Quando gli attaccanti manipolano i suoi stessi flussi di lavoro privilegiati, Defender diventa un meccanismo di distribuzione del malware.
Gli exploit richiedono che un attaccante abbia accesso locale al sistema, ma una volta raggiunto questo obiettivo, anche un avversario moderatamente esperto può utilizzare questi exploit per ottenere in modo affidabile l’escalation dei privilegi o indebolire le difese dell’endpoint.
Strategie di staging e evasione
I ricercatori hanno osservato che gli attaccanti stanno utilizzando strategie sofisticate di staging dei binari. Utilizzano directory scrivibili dall’utente come Download e Pictures, spesso riutilizzando i nomi dei file originali dei PoC o varianti leggermente offuscate come eseguibili rinominati. Questa tattica riduce significativamente i tassi di rilevamento perché:
- Le directory scrivibili dall’utente hanno bassi livelli di scrutinio
- I nomi di file comuni non generano allarmi
- Le varianti rinominate eludono la rilevazione basata su hash
Raccomandazioni per l’hardening tecnico
Per i team di sicurezza e gli amministratori di sistema:
- Implementare una layer di rilevamento che non condivida il limite di trust con l’agente endpoint bersaglio
- Monitorare attivamente i processi figlio di cmd.exe in Explorer per comportamenti anomali
- Implementare il blocco dell’esecuzione dalle directory scrivibili dell’utente a livello di policy
- Mantenere un baseline crittografico di TieringEngineService.exe e monitorare attivamente le deviazioni
- Implementare il monitoraggio della pipeline di aggiornamento di Defender per rilevare anomalie nel flusso di comunicazione
- Considerare soluzioni EDR (Endpoint Detection and Response) di terze parti che non si basano su Defender come meccanismo di rilevamento primario
Gli exploit di Nightmare-Eclipse rappresentano un’evoluzione significativa nelle tecniche di post-compromissione, dimostrando come anche i software di sicurezza possono diventare vettori di attacco quando le loro operazioni privilegiate non sono adeguatamente validate.
Fonte: https://www.darkreading.com/cyberattacks-data-breaches/exploits-turn-windows-defender-attacker-tool
