Il 29 giugno 2026, CISA ha aggiornato il proprio Known Exploited Vulnerabilities Catalog assegnando a CVE-2026-33825 il flag esplicito di exploitation ransomware. La vulnerabilità, soprannominata BlueHammer, colpisce il motore di remediation di Microsoft Defender ed era già stata divulgata come zero-day il 7 aprile dal ricercatore Nightmare Eclipse. Il salto di pericolosità è netto: da privilegio locale a arma per estorsioni di massa. Eppure il vendor non ha modificato il proprio advisory, lasciando un divario istituzionale che espone direttamente le valutazioni di rischio delle aziende.
- CISA ha impostato su "Known" il flag ransomware per CVE-2026-33825 nel KEV Catalog, confermando exploitation attiva da parte di gruppi ransomware.
- Il meccanico tecnico è una race condition TOCTOU nel motore di remediation di Microsoft Defender, sfruttabile con opportunistic locks e NTFS junction per scrivere file con privilegi SYSTEM.
- Microsoft ha rilasciato la patch il 14 aprile 2026 (versione 4.18.26030.3011) ma non ha aggiornato l'advisory con il tag "exploited" nonostante la conferma governativa.
- Huntress Labs aveva già rilevato exploitation zero-day con evidenza di attività "hands-on-keyboard" prima della pubblicazione della patch.
Il meccanismo: come Defender diventa un'arma contro se stesso
La vulnerabilità risiede nel modo in cui Microsoft Defender gestisce la fase di remediation dopo il rilevamento di un file malevolo. L'attaccante posiziona un payload che Defender identifica come minaccia, ma prima che il motore di pulizia completi l'operazione, interrompe il flusso mediante opportunistic locks (oplock). Durante questa pausa, reindirizza il percorso target attraverso una NTFS junction verso directory privilegiate come System32.
Defender, al ripristino dell'operazione, esegue l'azione con i propri privilegi SYSTEM. Il risultato è la scrittura arbitraria di file in percorsi protetti o l'estrazione di hash dal database SAM, con escalation completa a livello sistema. Il vettore richiede accesso locale autenticato: tipicamente un foothold ottenuto via phishing, credenziali compromesse o compromissione iniziale della rete.
Picus Security ha analizzato dettagliatamente questa catena TOCTOU (Time-of-Check to Time-of-Use), classificando la vulnerabilità come CWE-1220: insufficient granularity of access control. Il CVSS base score è 7.8 (High), con vector AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H — tutte le metriche di impatto al massimo, compatibilmente con il fatto che il vettore rimane locale.
La conferma CISA: da zero-day a ransomware in tre mesi
La timeline è stringente. Il 7 aprile 2026, Nightmare Eclipse — anche noto come Chaotic Eclipse — ha divulgato pubblicamente il proof-of-concept in protesta contro i tempi e le modalità del Microsoft Security Response Center. Il 14 aprile, Patch Tuesday, Microsoft ha rilasciato la correzione. Otto giorni dopo, il 22 aprile, CISA ha inserito CVE-2026-33825 nel KEV Catalog con scadenza di patching obbligatoria per le agenzie federali fissata al 7 maggio 2026.
Huntress Labs aveva già documentato exploitation in-the-wild precedente alla patch, con tracce di attività manuale da parte di threat actor. Il passaggio decisivo avviene il 29 giugno: CISA aggiorna il catalogo assegnando il flag "Known To Be Used in Ransomware Campaigns? Known". Secondo BleepingComputer, che ha riportato per primo la notizia, CISA ha esplicitamente confermato l'utilizzo in campagne ransomware.
"CISA has now also flagged it as exploited in ransomware campaigns in a Monday update to its KEV Catalog" — BleepingComputer, 29 giugno 2026
Questo aggiornamento eleva la vulnerabilità a prioritaria non solo per il settore pubblico federale, ma per ogni organizzazione che utilizzi i criteri CISA come linea guida per la gestione del rischio. Il problema è che la fonte primaria del software — Microsoft — non ha allineato la propria comunicazione.
Il divario di comunicazione: perché il silenzio di Microsoft conta
L'advisory MSRC per CVE-2026-33825, consultabile nel Security Update Guide, elenca correttamente la vulnerabilità come "Elevation of Privilege" e riporta le versioni affette (4.18.26020.6) e corrette (4.18.26030.3011). Tuttavia, al 29 giugno 2026, non include il tag "exploited" né riferimenti all'utilizzo ransomware. La descrizione riporta: "Insufficient granularity of access control in Microsoft Defender allows an authorized attacker to elevate privileges locally".
Questa discrepanza non è formale. Le aziende che automatizzano la prioritizzazione delle patch attraverso i vendor advisory — prassi diffusa nelle security operation di medie e grandi dimensioni — potrebbero classificare CVE-2026-33825 come rischio teorico o gestibile, perdendo la natura attiva e ransom del threat. Will Dormann, principal vulnerability analyst presso Tharros, ha sintetizzato l'impatto operativo: "At that point, [the attackers] basically own the system, and can do things like spawn a SYSTEM-privileged shell".
Il fenomeno non è isolato. Secondo BleepingComputer, CISA ha finora flaggato otto vulnerabilità di Microsoft Defender come exploited; di queste, solo due risultano anche target di ransomware gangs. BlueHammer entra in questa minoranza qualificata, ma il vendor non ne riconosce pubblicamente l'evoluzione.
Cosa fare adesso
- Verificare la versione del motore antimalware: le organizzazioni devono confermare che Microsoft Defender Antimalware Platform sia aggiornato alla versione 4.18.26030.3011 o successiva, indicata nel Security Update Guide Microsoft come prima versione corretta.
- Prioritizzare CVE-2026-33825 con criterio CISA-KEV: il flag ransomware imposto da CISA sovrascrive ogni classificazione di rischio basata esclusivamente sul vendor advisory; va trattata come patching immediato indipendentemente dalla severità CVSS.
- Rivedere i flussi di detection sull'endpoint: Huntress Labs ha documentato attività manuale pre-patch; i team di sicurezza devono verificare che i log di remediation di Defender per il periodo aprile-giugno 2026 siano conservati e analizzabili per indicatori di compromissione.
- Valutare fonti di intelligence multiple per la prioritizzazione: affidarsi esclusivamente agli advisory vendor per la classificazione del rischio attivo espone a sottovalutazione; CISA KEV, threat intelligence diretta e rilevamenti di vendor di sicurezza devono essere integrati nel workflow.
Lettura: quando la governance del rischio si spezza
Il caso BlueHammer non è semplicemente una vulnerabilità gestita male. È uno stress test sul sistema di comunicazione vulnerabilità-vendor che le difese aziendali assumono come affidabile. Quando l'agenzia governativa che definisce gli standard di cybersecurity nazionali dice "ransomware confermato" e il costruttore del software dice "privilege locale teorico", chi deve prendere decisioni operative riceve segnali in conflitto.
La conseguenza non è solo culturale. Ogni giorno di ritardo nella correzione — motivato da una percezione di rischio bassa — è un giorno in cui un accesso locale via credenziali rubate o initial compromissione si trasforma in sistema posseduto, hash estratti, movimento laterale e, ora, cifratura di massa. Il PoC è pubblico da mesi. Il patch è disponibile. Il divario è di informazione, non di capacità tecnica. E quel divario, per scelta o per omissione, ha un costo misurabile in sistemi compromessi.
Fonti
- https://www.bleepingcomputer.com/news/security/cisa-windows-bluehammer-flaw-now-exploited-by-ransomware-gangs/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.helpnetsecurity.com/2026/04/08/bluehammer-windows-zero-day-exploit-leaked/
- https://www.picussecurity.com/resource/blog/bluehammer-redsun-windows-defender-cve-2026-33825-zero-day-vulnerability-explained
- https://www.darkreading.com/vulnerabilities-threats/bluehammer-windows-exploit-microsoft-bug-disclosure-issues
- https://nvd.nist.gov/vuln/detail/CVE-2026-33825
- https://www.cve.org/CVERecord?id=CVE-2026-33825
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-33825
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.