Schermo di Windows 11 con codice di exploit e logo Microsoft Defender
Microsoft ha minacciato azioni legali contro il ricercatore Nightmare Eclipse per aver pubblicato sei vulnerabilità zero-day di Windows 11, tra cui BlueHammer e RedSun. Gli exploit usano Microsoft Defender con privilegi SYSTEM come motore dell'infezione. LEGGI TUTTO L'ARTICOLO
🎧 Ascolta questo articolo
Bonus Video
Zero-day che trasformano l'antivirus in cavallo di Troia
La recente minaccia di azioni legali da parte di Microsoft contro il ricercatore indipendente di sicurezza informatica noto con lo pseudonimo di Nightmare Eclipse solleva gravi interrogativi sulle strategie di gestione delle vulnerabilità software nei sistemi operativi di larga diffusione. Tra aprile e maggio del duemilaventicinque, il ricercatore ha pubblicato sulla piattaforma GitHub i dettagli tecnici e il codice d'attacco dimostrativo di sei vulnerabilità critiche di tipo "zero-day" che affliggono il sistema operativo Windows undici. La risposta di Microsoft non si è fatta attendere: chiusura forzata dell'account del ricercatore e avvio di un'indagine penale da parte della Digital Crimes Unit della compagnia di Redmond. La multinazionale sostiene che la divulgazione non coordinata abbia messo in serio pericolo la sicurezza degli utenti finali, esponendoli ad attacchi in corso da parte di gruppi criminali che hanno prontamente integrato tali exploit nelle proprie campagne ransomware. Tuttavia, un'analisi tecnica dettagliata di queste vulnerabilità rivela un fatto sconcertante che mette in crisi l'intero modello logico dei moderni sistemi antivirus. Gli exploit di punta, denominati BlueHammer e RedSun, non aggirano le difese del sistema operativo, ma utilizzano proprio Microsoft Defender (che opera con i massimi privilegi di amministrazione denominati SYSTEM) come motore esecutivo dell'infezione. In pratica, è come se il sistema immunitario informatico venisse ingannato per colpire la struttura stessa che deve proteggere, invalidando i tradizionali bastioni di sicurezza perimetrale del kernel.
Tabella degli exploit e del loro impatto
Nome dell'exploit
CVE / stato delle patch
Componente presa di mira
Effetto dell'attacco sul sistema
BlueHammer
CVE-2026-33825 / Risolto
Procedura di aggiornamento firme Defender
Furto di password dal registro di sistema SAM
RedSun
Nessun CVE / Non corretto
Percorso di bonifica file infetti MpSvc
Esecuzione di codice nocivo come SYSTEM
UnDefend
Nessun CVE / Non corretto
Meccanismo di aggiornamento firme Defender
Blocco silente dell'antivirus e falsificazione stato
YellowKey
CVE-2026-45585 / Mitigato
Sistema di cifratura del disco BitLocker
Bypass della protezione dei dati a computer spento
GreenPlasma
Nessun CVE / Non corretto
Subsistemi interni di Windows
Elevazione dei privilegi a livello amministratore
La catena d'attacco di RedSun: cinque passi verso il disastro
L'exploit RedSun, ancora attivo e non corretto sui sistemi completamente aggiornati alla data di stesura di questo articolo, sfrutta una debolezza logica nel percorso di bonifica dell'antivirus reale. La catena dell'attacco si sviluppa in cinque passaggi fondamentali. Primo: viene creato un file temporaneo contenente una firma virale standard di test (la stringa EICAR) per forzare l'intervento di scansione in tempo reale di Defender. Secondo: l'attacco monitora l'avvio del processo di rimozione dell'antivirus e lo blocca temporaneamente tramite una serratura logica di sistema nota come blocco opportunistico. Terzo: mentre l'antivirus è in attesa che il file venga sbloccato, il percorso della cartella originaria viene rinominato e sostituito con un collegamento virtuale (una giunzione NTFS) che punta alla cartella protetta System32 del sistema operativo. Quarto: quando l'antivirus riprende la propria azione per eliminare il file infetto, scrive un nuovo file controllato dall'attaccante all'interno di System32 sotto il nome del servizio legittimo TieringEngineService.exe, ingannato dal collegamento virtuale. Quinto: l'invocazione di tale servizio esegue il file malevolo con i massimi privilegi di sistema SYSTEM. A questo punto, l'attaccante ha pieno controllo del computer, può installare ransomware, rubare dati o spiare l'utente, tutto mentre il pannello mostra uno stato di totale integrità operativa dei moduli di sicurezza di Windows undici.
La scelta di Microsoft: silenziare i ricercatori invece di risolvere i bug
La scelta di Microsoft di perseguire legalmente il ricercatore Nightmare Eclipse, anziché collaborare per risolvere queste debolezze logiche strutturali, rischia di compromettere la fiducia della comunità globale degli esperti di sicurezza. Molti analisti hanno fatto notare che il ricercatore aveva rispettato i tempi di disclosure responsabile per alcune vulnerabilità, ma Microsoft non aveva ancora rilasciato patch per RedSun e UnDefend. Frustrato dalla lentezza dell'azienda, il ricercatore ha pubblicato i dettagli completi, scatenando la reazione legale del team di Redmond. Il risultato è un effetto inibitorio preoccupante: altri esperti potrebbero ora pensare due volte prima di segnalare bug critici a Microsoft, preferendo venderli a broker privati o usarli per scopi di intelligence asimmetrica. A perderci sono gli utenti finali, che restano esposti a minacce invisibili perché l'azienda preferisce spendere risorse in dipartimenti legali piuttosto che in ingegneria del software. Nel frattempo, i gruppi criminali stanno già sfruttando attivamente queste vulnerabilità logiche all'interno di campagne ransomware mirate contro infrastrutture sensibili e reti aziendali non protette, evidenziando il fallimento della strategia di contenimento legale applicata dalla compagnia.
La vicenda Nightmare Eclipse dimostra che il più grande nemico della sicurezza informatica non è sempre l'hacker, ma talvolta l'arroganza delle aziende che antepongono la propria immagine alla protezione degli utenti. Fino a quando non cambierà questa mentalità, le vulnerabilità continueranno a essere sfruttate in silenzio, mentre i ricercatori verranno messi a tacere.
