Windows zero-day BlueHammer LPE: analisi dell'exploit non patchato
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.. Windows zero-day BlueHammer LPE: escalation dei privileg…
Contenuto
- Il 3 aprile 2026 è stato pubblicato su GitHub un exploit funzionante denominato BlueHammer per l'escalation locale dei privilegi in Windows.
- La vulnerabilità sfrutta una catena complessa tra Microsoft Defender, Volume Shadow Copy, Cloud Files API e opportunistic locks.
- L'exploit consente di ottenere privilegi NT AUTHORITY\SYSTEM partendo da un utente standard in meno di un minuto.
- Al momento della segnalazione, Microsoft non ha rilasciato una patch ufficiale né assegnato un identificativo CVE specifico.
Il panorama della sicurezza Windows affronta una nuova minaccia significativa in seguito alla pubblicazione non coordinata di un exploit zero-day. Il 3 aprile 2026, un ricercatore di sicurezza noto con lo pseudonimo "Chaotic Eclipse" ha rilasciato pubblicamente su GitHub il codice sorgente per una vulnerabilità di escalation dei privilegi locali (LPE) denominata BlueHammer.
Questa pubblicazione è avvenuta senza una preventiva coordinazione con il produttore, lasciando i sistemi Windows vulnerabili a un attacco che permette di ottenere il controllo totale della macchina. L'exploit BlueHammer non è attualmente coperto da alcuna patch ufficiale, rendendolo uno strumento critico per potenziali attori malevoli che operano già all'interno di una rete aziendale.
L'escalation da utente a privilegi limitati a NT AUTHORITY\SYSTEM avviene in meno di un minuto sui sistemi Windows 10 e 11.
Analisi tecnica della catena di attacco BlueHammer
La debolezza scoperta da Chaotic Eclipse non risiede in un singolo bug di corruzione della memoria, ma in un difetto di progettazione logica e in una race condition. L'attacco concatena diverse funzionalità legittime del sistema operativo Windows per aggirare le restrizioni di sicurezza. I componenti coinvolti includono Microsoft Defender, il Volume Shadow Copy Service (VSS), le Windows Cloud Files API e gli opportunistic locks (oplocks).
Il meccanismo si innesca durante il workflow di aggiornamento di Microsoft Defender. In questa fase, il sistema crea uno snapshot VSS temporaneo per gestire i file di firma e l'integrità del database. L'attaccante può utilizzare le Cloud Files API per forzare una callback che mette in pausa il processo di aggiornamento, utilizzando contemporaneamente gli oplock per bloccare l'accesso ai file necessari a Defender.
Mentre Microsoft Defender è in stato di attesa o "congelato", lo shadow copy temporaneo creato dal sistema rimane montato e accessibile. L'exploit BlueHammer sfrutta questa finestra temporale per accedere direttamente al percorso del dispositivo di shadow copy, ad esempio \Device\HarddiskVolumeShadowCopy12\Windows\System32\Config\SAM, bypassando i lock file attivi sul sistema operativo principale.
Una volta ottenuto l'accesso agli hive di registro SAM, SYSTEM e SECURITY all'interno della copia shadow, l'exploit procede all'estrazione delle informazioni sensibili. Attraverso la ricostruzione della boot key, una sequenza di 16-byte necessaria per decrittare i segreti LSA (Local Security Authority), l'attaccante può ottenere gli hash NTLM degli account utente e di sistema.
Il risultato finale è l'elevazione dei privilegi che culmina in una shell con i massimi permessi di sistema. La velocità di esecuzione è uno degli elementi più allarmanti rilevati dagli analisti, poiché l'intera sequenza di montaggio, lettura e decrittazione avviene in meno di sessanta secondi, minimizzando le possibilità di rilevamento tempestivo da parte dei sistemi di monitoraggio standard.
Verifica indipendente e validazione di Howler Cell
La validità dell'exploit BlueHammer è stata confermata dalla cella di ricerca Howler Cell di Cyderes, che ha condotto test end-to-end su sistemi Windows 10 e 11 completamente aggiornati. Sebbene il Proof of Concept (PoC) originale pubblicato su GitHub presentasse alcuni bug minori di implementazione, i ricercatori di Howler Cell sono stati in grado di risolverli rapidamente.
Durante i test di laboratorio, i ricercatori hanno dimostrato che un utente con privilegi limitati può effettivamente scalare i propri permessi fino a diventare NT AUTHORITY\SYSTEM. Questa conferma tecnica convalida le affermazioni di Chaotic Eclipse, il quale aveva dichiarato provocatoriamente: "I was not bluffing Microsoft, and I'm doing it again", alludendo a precedenti interazioni con l'azienda.
Anche Will Dormann, principal vulnerability analyst presso Tharros, ha fornito una conferma indipendente dell'efficacia dell'exploit. Secondo l'analisi di Dormann, sebbene la catena di attacco non sia banale da trasformare in un'arma (weaponize) su larga scala, funziona abbastanza bene da essere considerata operativamente rilevante per attacchi mirati o operazioni post-sfruttamento.
Microsoft, interpellata in merito alla vulnerabilità, ha rilasciato tramite il Microsoft Security Response Center una dichiarazione generica, affermando di supportare la divulgazione coordinata delle vulnerabilità (Coordinated Vulnerability Disclosure). Tuttavia, al momento non è stato assegnato alcun numero CVE né è stata indicata una data per il rilascio di un aggiornamento di sicurezza risolutivo.
Un elemento critico emerso dalle analisi riguarda la capacità di rilevamento di Microsoft Defender. Recenti aggiornamenti delle firme hanno iniziato a identificare il binario PoC originale come Exploit:Win32/DfndrPEBluHmr.BB. Tuttavia, gli esperti avvertono che questa è una misura reattiva: un attaccante può facilmente modificare il codice sorgente o l'implementazione per bypassare la firma statica, mantenendo intatta l'efficacia della tecnica sottostante.
Il rischio per le infrastrutture aziendali
L'esistenza di un exploit LPE funzionante come BlueHammer rappresenta un rischio elevato per le reti aziendali, specialmente in scenari di persistenza dopo una compromissione iniziale. In un tipico attacco ransomware o di spionaggio, il primo punto di accesso è spesso una workstation con privilegi limitati; BlueHammer fornisce la chiave per il controllo totale del dispositivo locale.
Poiché l'exploit abusa di servizi legittimi come VSS e le API Cloud Files, distinguere tra attività amministrative standard e l'esecuzione dell'attacco richiede un monitoraggio granulare degli eventi di sistema. Molte soluzioni EDR potrebbero non essere configurate per segnalare l'accesso diretto ai device path delle shadow copy se eseguito tramite chiamate API legittime.
La mancanza di un CVE rende difficile per i team di sicurezza tracciare la vulnerabilità attraverso i comuni scanner di vulnerabilità e strumenti di patch management. Fino a quando non verrà rilasciata una correzione ufficiale nel kernel di Windows o nel modulo di gestione di Microsoft Defender, la superficie di attacco rimarrà esposta su centinaia di milioni di dispositivi.
Inoltre, l'assenza di BlueHammer nel catalogo delle vulnerabilità note (KEV) di CISA nelle prime fasi della pubblicazione non deve indurre a una falsa sensazione di sicurezza. La velocità con cui gli attori delle minacce adottano gli exploit zero-day pubblicamente disponibili suggerisce che l'uso "in the wild" potrebbe precedere di molto l'inserimento nei cataloghi ufficiali di monitoraggio governativo.
Cosa fare adesso
In assenza di una patch ufficiale da parte di Microsoft, le organizzazioni devono adottare strategie di mitigazione basate sul monitoraggio e sulla riduzione della superficie di attacco. Sebbene non sia consigliabile disabilitare Microsoft Defender o il servizio VSS a causa della loro importanza per la sicurezza e il backup, è possibile implementare controlli compensativi specifici.
Il primo passo consiste nell'aggiornare costantemente le definizioni di Microsoft Defender. Anche se le firme possono essere bypassate con modifiche al codice, offrono comunque una protezione contro l'uso del PoC "as-is". È essenziale monitorare i log di Defender per rilevare eventuali alert relativi alla firma Exploit:Win32/DfndrPEBluHmr.BB, che potrebbero indicare tentativi iniziali di test da parte di un intruso.
È raccomandato implementare regole di monitoraggio EDR (Endpoint Detection and Response) che segnalino tentativi insoliti di accesso agli hive di registro SAM, SYSTEM e SECURITY, specialmente se l'accesso proviene da percorsi non convenzionali come quelli legati ai dispositivi Shadow Copy (\Device\HarddiskVolumeShadowCopy*). Tali attività da parte di processi non autorizzati dovrebbero essere trattate come incidenti ad alta priorità.
Inoltre, le organizzazioni dovrebbero limitare l'uso di account con privilegi amministrativi locali. Poiché BlueHammer è un exploit LPE, la sua pericolosità dipende dalla capacità di un attaccante di eseguire codice sulla macchina. Ridurre la possibilità che codice non autorizzato venga eseguito (attraverso Application Whitelisting o restrizioni software) rimane la difesa più solida contro lo sfruttamento di zero-day locali.
Infine, si consiglia di monitorare attentamente i canali ufficiali di Microsoft e le analisi tecniche di terze parti come Howler Cell per eventuali aggiornamenti su workaround temporanei. La gestione dei lock opportunistici e delle interazioni con le Cloud Files API potrebbe essere oggetto di future configurazioni di hardening tramite Group Policy, non appena saranno disponibili ulteriori dettagli sulle contromisure efficaci.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.