Da problema serio a emergenza vera e propria il passo è stato breve, e la falla BlueHammer presente in Microsoft Defender lo ha compiuto in poche settimane. A dare l’allarme è stata CISA, la Cybersecurity and Infrastructure Security Agency, l’agenzia federale statunitense che si occupa della sicurezza informatica e delle infrastrutture sul territorio degli Stati Uniti. Il verdetto è netto: la vulnerabilità viene sfruttata anche all’interno di campagne ransomware. Il bug porta la sigla CVE-2026-33825 e riguarda un’escalation locale dei privilegi, colpendo un componente che moltissime aziende considerano parte della protezione di base di Windows.
Tutto è cominciato ai primi di aprile del 2026, quando un ricercatore noto con lo pseudonimo di Nightmare Eclipse ha reso pubblici i dettagli tecnici e un codice proof-of-concept, criticando apertamente il modo in cui il Microsoft Security Response Center gestisce alcune segnalazioni di sicurezza. Microsoft ha rilasciato la correzione il 14 aprile 2026, durante il consueto Patch Tuesday, ma quel lasso di tempo tra la pubblicazione dell’exploit e l’arrivo della patch ha regalato ai gruppi criminali un’occasione più che concreta.
Nel giro di pochi giorni sono spuntate attività compatibili con uno sfruttamento reale, altro che semplici prove di laboratorio. CISA ha quindi inserito la CVE nel catalogo Known Exploited Vulnerabilities il 22 aprile, imponendo alle agenzie federali civili statunitensi di correre ai ripari entro il 7 maggio. Poi è arrivata la notizia più pesante: il collegamento diretto con campagne ransomware.
Perché i gruppi ransomware puntano su questa falla
La cifratura dei file, quella che blocca tutto e fa scattare la richiesta di riscatto, è soltanto l’ultimo tassello di una catena che parte molto prima. Gli aggressori lavorano per ottenere un accesso iniziale, studiano i sistemi, rubano credenziali, si spostano lateralmente per allargare il raggio d’azione ad altre macchine, indeboliscono o spengono le difese e solo alla fine attivano il blocco dei dati. Una vulnerabilità di tipo Local Privilege Escalation come questa si incastra perfettamente in quel meccanismo. Non serve per entrare in un sistema esposto su Internet, serve a trasformare un accesso con permessi ridotti in qualcosa di ben più pericoloso.
Credenziali sottratte, VPN compromesse, sessioni RDP mal configurate, malware già in esecuzione nel profilo utente, strumenti di supporto piegati a scopi malevoli. Da lì si passa all’acquisizione di permessi più alti, e se l’attaccante riesce a mettere le mani sui privilegi SYSTEM, il gioco è quasi fatto: può eseguire comandi al massimo livello disponibile in ambiente Windows locale, manipolare servizi, creare processi privilegiati e interferire con gli strumenti di protezione.
Il difetto alla base di BlueHammer può spalancare le porte del database SAM, il Security Account Manager, dove Windows custodisce gli hash delle password degli account locali. Non vuol dire leggere le password in chiaro, ma significa avere in mano materiale prezioso per attacchi di cracking offline e per tentativi di compromissione più avanzati. In una rete aziendale basta un singolo host per innescare un attacco potenzialmente devastante.
Il nodo dei privilegi in Microsoft Defender
Microsoft descrive la CVE-2026-33825 come una vulnerabilità dovuta a una insufficiente granularità del controllo degli accessi all’interno di Defender. La definizione è asciutta, ma il senso è chiaro: una funzione usata dal software non isola abbastanza ciò che un utente con permessi limitati può combinare. Defender lavora spesso con privilegi elevati perché deve analizzare file in aree delicate, mettere in quarantena oggetti sospetti, rimuovere componenti malevoli e dialogare con il motore antimalware. Tutto normale per un prodotto di sicurezza, il problema nasce quando qualcuno riesce a condizionare una di queste operazioni facendola girare in un contesto non previsto.
Will Dormann, analista di Tharros, ha fatto notare che l’exploit non funziona sempre e in ogni situazione. Il punto è che gli operatori ransomware hanno tempo, automazioni, kit già pronti e spesso un accesso interattivo diretto alle macchine bersaglio.
Il catalogo Known Exploited Vulnerabilities gestito da CISA non è un semplice elenco informativo. Per le agenzie federali civili statunitensi porta con sé obblighi ben precisi, e per aziende private e pubbliche amministrazioni rappresenta comunque un segnale di priorità molto forte. Da quanto emerge, Microsoft ha pubblicato advisory e patch ma non ha contrassegnato la falla come sfruttata attivamente nella propria classificazione. Una differenza tra produttore e CISA tutt’altro che rara: lo sviluppatore segue criteri interni specifici, mentre CISA può appoggiarsi a evidenze raccolte da incidenti reali, partner e intelligence tecnica.