Un nuovo exploit zero-day che colpisce Windows 10 e Windows 11 è finito sotto i riflettori della comunità di sicurezza informatica dopo la pubblicazione, senza alcun preavviso, di un proof-of-concept perfettamente funzionante. La faccenda è piuttosto seria: basta eseguire un singolo file per ottenere privilegi SYSTEM, ovvero il livello più alto nel modello di sicurezza di Windows, anche partendo da un account con diritti limitati. E al momento non esiste alcuna patch ufficiale.
La vicenda ha preso forma a inizio aprile 2026, quando un ricercatore di sicurezza, evidentemente frustrato dalla gestione della segnalazione da parte di Microsoft, ha deciso di rendere pubblico il codice dell’exploit. Il file, chiamato FunnyApp.exe, è stato diffuso anche in versione già compilata, abbassando in modo drastico la barriera tecnica necessaria per sfruttarlo. Le verifiche indipendenti condotte dal noto ricercatore Will Dormann hanno confermato che il meccanismo funziona nella maggioranza dei tentativi su Windows 10, Windows 11 e persino Windows Server, pur senza garantire il successo nel 100% dei casi. Una volta ottenuto l’accesso SYSTEM, qualsiasi controllo di sicurezza locale diventa sostanzialmente inefficace: è possibile installare driver, manipolare servizi, disabilitare protezioni e accedere a ogni file presente nel sistema.
Il meccanismo tecnico e il ruolo di Microsoft Defender
Il cuore della vulnerabilità riguarda il meccanismo di aggiornamento delle firme di Microsoft Defender, che opera con privilegi elevatissimi. L’exploit sfrutta una cosiddetta race condition di tipo TOCTOU (time-of-check to time-of-use): il sistema verifica un percorso file, ma nell’intervallo tra il controllo e l’utilizzo effettivo, l’attaccante riesce a modificarne la destinazione. Attraverso tecniche basate su link simbolici e giunzioni NTFS, un utente privo di privilegi può reindirizzare le operazioni eseguite dal servizio di sicurezza verso percorsi sotto il proprio controllo. Defender finisce così per scrivere o leggere file in posizioni arbitrarie, aprendo la strada all’esecuzione di codice con privilegi SYSTEM.
Vale la pena sottolineare una differenza importante: strumenti come PsExec di Sysinternals permettono di acquisire privilegi SYSTEM, ma solo partendo da account già amministrativi. FunnyApp.exe, invece, consente di raggiungere lo stesso risultato con qualunque tipologia di account, indipendentemente dai diritti assegnati.
Un altro aspetto preoccupante riguarda la replicabilità. Il proof-of-concept è scritto in linguaggio C e, anche se alcuni antivirus rilevano il file originale, basta ricompilare il codice per ottenere varianti con hash differenti, rendendo poco efficace il rilevamento basato su firme. A poche ore dalla pubblicazione, solo una parte dei vendor di sicurezza aveva classificato il binario come malevolo.
Perché Microsoft non è intervenuta e cosa comporta per gli utenti
La pubblicazione dell’exploit non è stata casuale. Alla base ci sarebbe un attrito tra il ricercatore e Microsoft durante il processo di segnalazione. L’autore avrebbe notificato la vulnerabilità seguendo i canali ufficiali, senza però ottenere un riscontro ritenuto adeguato né tempistiche chiare per una correzione. Quando il vendor non riconosce la gravità del problema o non comunica aggiornamenti puntuali, alcuni ricercatori scelgono la strada della divulgazione pubblica per forzare una reazione. Una scelta controversa, perché espone contemporaneamente milioni di utenti a rischi immediati.