BlueHammer, la falla di Windows Defender sfruttata dai ransomware mette a rischio i PC senza patch
Microsoft ha corretto ad aprile la vulnerabilità BlueHammer di Windows Defender, ma la CISA segnala che la falla è già sfruttata in campagne ransomware. Le aziende che non hanno installato gli aggiornamenti restano esposte ad attacchi con privilegi elevati.
La vulnerabilità BlueHammer, identificata come CVE-2026-33825, è tornata al centro dell'attenzione dopo l'aggiornamento del catalogo Known Exploited Vulnerabilities della CISA, che la indica come già utilizzata in campagne ransomware. Microsoft aveva distribuito la correzione il 14 aprile attraverso gli aggiornamenti di Windows, ma i sistemi che non hanno ancora ricevuto la patch continuano a rappresentare un bersaglio per gli attaccanti.
Il difetto interessa Microsoft Defender e consente a un utente con accesso locale di ottenere privilegi di livello SYSTEM sfruttando una race condition nel software. Una volta acquisiti questi permessi, un malware può compromettere il sistema operativo, alterare il processo di avvio e rendere inutilizzabile il computer, andando oltre la semplice cifratura dei documenti.
La vulnerabilità è classificata come un problema di controllo degli accessi insufficiente (CWE-1220) e riguarda le versioni della piattaforma Microsoft Defender Antimalware precedenti alla 4.18.26030.3011. Per questo motivo le organizzazioni devono verificare non solo la disponibilità della patch, ma anche che sia stata realmente installata su tutti gli endpoint aziendali.
Secondo gli aggiornamenti diffusi dalla CISA, la falla è stata inserita nel catalogo delle vulnerabilità già sfruttate il 22 aprile e successivamente l'agenzia statunitense ha precisato che viene impiegata anche in operazioni ransomware. Le informazioni disponibili non attribuiscono al momento gli attacchi a uno specifico gruppo criminale.
Nelle reti aziendali il problema riguarda soprattutto i dispositivi che sfuggono ai normali processi di aggiornamento, come notebook utilizzati fuori sede, computer rimasti spenti durante le finestre di manutenzione, macchine legacy o sistemi esclusi dai criteri automatici di distribuzione delle patch.
I dati più recenti mostrano che il tempo necessario per installare gli aggiornamenti critici rimane elevato in molte organizzazioni. Ritardi di settimane o mesi ampliano la finestra di esposizione e consentono agli aggressori di sfruttare vulnerabilità già corrette dal produttore ma ancora presenti sui dispositivi non aggiornati.
Per le imprese italiane soggette alla normativa NIS2, il patch management rientra tra le misure di sicurezza che devono poter essere documentate. Diventa quindi essenziale dimostrare quali sistemi risultavano vulnerabili, quando sono stati aggiornati, quali eccezioni sono ancora aperte e chi ne ha autorizzato il mantenimento.
Un ulteriore elemento di attenzione riguarda la presenza ancora diffusa di Windows 10 nei parchi informatici aziendali. Sebbene Microsoft abbia esteso il programma degli aggiornamenti di sicurezza per chi aderisce all'Extended Security Updates, i dispositivi non iscritti o non correttamente gestiti restano vulnerabili anche se esiste una soluzione di supporto.
Le verifiche dovrebbero comprendere un inventario aggiornato dei sistemi Windows, il controllo della versione installata di Microsoft Defender, l'individuazione degli endpoint che non hanno ricevuto gli aggiornamenti di aprile e il riesame delle eventuali eccezioni al processo di aggiornamento, affiancando test periodici di ripristino per garantire la continuità operativa in caso di attacco ransomware.
Notizie correlate
Microsoft Defender, arriva l'isolamento automatico dei PC compromessi contro ransomware e attacchi Microsoft Defender introdurrà l’isolamento automatico dei PC compromessi per fermare ransomware e attacchi interni prima che si diffondano nella rete aziendale.