Microsoft Defender sotto attacco: tre zero-day

THREAT BRIEF

Identificatori: BlueHammer (CVE-pending), RedSun (CVE-pending), UnDefend (CVE-pending) Piattaforma interessata: Microsoft Defender for Endpoint, Microsoft Defender Antivirus Vettore primario: Exploit locale attraverso Microsoft Defender corrotto o bypassato Stato patch: BlueHammer e RedSun — non patchati; UnDefend — patch parziale rilasciata Attribuzione: Sconosciuta, pattern compatibili con gruppi APT statali Data prima rilevazione: Febbraio 2026

Gli attaccanti sfruttano tre vulnerabilità zero-day nel motore di Microsoft Defender per escalare i privilegi su sistemi Windows già compromessi. L'exploit non permette l'accesso iniziale, ma trasforma una compromissione limitata (utente standard) in accesso SYSTEM o admin locale. Due falle su tre non hanno ancora una correzione ufficiale Microsoft.

ANALISI DELLA MINACCIA

Vettore d'attacco e condizioni d'abuso

Le tre vulnerabilità condividono un pattern comune: sfruttano la fiducia che Microsoft Defender ripone nel proprio motore di scansione. Quando il antivirus esegue operazioni su file sospetti, il codice opera con privilegi elevati. Gli attaccanti manipolano questo flusso per iniettare codice malevolo nel processo di scansione.

BlueHammer sfrutta una race condition nel momento in cui Defender deserializza un file quarantenato. L'attaccante posiziona un file appositamente craftato che, durante la deserializzazione, permette un write-what-where primitive. Questo si traduce in esecuzione di codice nel contesto del servizio MsMpEng.exe.

RedSun è più sofisticato: sfrutta un bug nel parser delle definizioni virus. Modificando il formato di una firma malware custom, l'attacker può causare un buffer overflow che gli concede esecuzione nel processo del motore antivirus.

UnDefend (la falla parzialmente patchata) sfrutta il meccanismo di logging di Defender. Un path traversal nel sistema di log permette di scrivere file arbitrari su disco con privilegi SYSTEM. Questa tecnica è stata documentata in-the-wild dopo la prima disclosure.

TTPs secondo MITRE ATT&CK

Le tecniche osservate si mappano su:

• T1068 — Exploitation for Privilege Escalation: l'obiettivo primario è l'escalation da utente standard a SYSTEM
• T1562 — Impair Defenses: Defender viene di fatto neutralizzato dall'interno
• T1027 — Obfuscated Files or Information: gli exploit sono spesso offuscati per evitare rilevamento
• T1490 — Inhibit System Recovery: dopo l'escalation, gli attaccanti disabilitano ulteriormente le difese

La chain d'attacco tipica prevede:

1. Accesso iniziale tramite phishing, credenziali rubate, o altra tecnica iniziale
2. Esecuzione di codice con privilegi utente standard
3. Deploy dell'exploit zero-day per BlueHammer/RedSun/UnDefend
4. Escalation a SYSTEM
5. Disinstallazione o disabilitazione di Defender
6. Deploy di payload finale (ransomware, RAT, data exfiltration)

Indicatori di compromissione

I team SOC possono monitorare:

• Event ID 4657 (registry modification) con chiavi correlate a Defender
• Processi figli di MsMpEng.exe con path non Microsoft
• Modifiche al servizio Windows Defender
• File creati in %ProgramData%\Microsoft\Diagnosis da account non SYSTEM

IMPACTO E PORTATA

Settori e organizzazioni a rischio

Questa minaccia colpisce organizzazioni che:

• Usano Microsoft Defender come antivirus primario
• Hanno ambienti Windows con utenti connessi a Internet
• Non hanno segmentazione utente/admin rigorosa

I settori più esposti:

• Pubblica amministrazione (spesso target di APT statali)
• Finanza e banking (obiettivo ad alto valore)
• Manifattura industriale (sistemi OT connessi)
• Sanità (dati sensibili, bassa tolleranza al rischio)

Dimensioni aziendali

Geografie

Le rilevazioni in-the-wild provengono principalmente da:

• Europa (focus su Germania, Francia, Italia)
• Nord America (USA, Canada)
• Asia-Pacifico (Giappone, Australia)

Non ci sono evidenze di attacchi massivi contro PMI italiane, ma il pattern è tipico di minacce che prima colpiscono target ad alto valore e poi si diffondono.

ANALISI COMPARATIVA

Precedenti e evoluzione

Non è la prima volta che il motore antivirus Microsoft diventa il vettore di attacco. Nel 2023, il gruppo Void Banshee sfruttò vulnerabilità in Edge per eseguire codice. Nel 2024, diverse famiglie ransomware (LockBit, BlackCat) hanno iniziato a disabilitare Defender come prima operazione post-accesso.

La novità qui è triplice:

1. Zero-day nel defender stesso: invece di disabilitarlo, gli attaccanti lo usano come vettore di escalation. Questo è tecnicamente più sofisticato.

1. Due falle non patchate: la finestra di esposizione è ampia. Microsoft non ha ancora rilasciato fix per BlueHammer e RedSun.

1. Pattern APT: a differenza del cybercrime tradizionale che usa tecniche "commodity", qui le tecniche suggeriscono attori statali o gruppi avanzati.

Confronto con minacce similar

La differenza principale è che PrintNightmare e ZeroLogon erano vulnerabilità di servizio di Windows, non del prodotto di sicurezza. Sfruttare il defender per ottenere privilegi è un cambio di paradigma.

Trend

I dati di threat intelligence degli ultimi 18 mesi mostrano:

• Aumento del 340% di exploit che靶ano software di sicurezza
• Crescita del 180% di tecniche di escalation che sfruttano componenti Microsoft
• Riduzione del tempo medio di patch (da 90 a 45 giorni per vulnerabilità critiche)

Questo trend conferma che gli attaccanti hanno capito che il modo migliore per entrare è aggirare le difese, non batterle frontalmente.

RACCOMANDAZIONI

Immediata (0-72 ore)

1. Verifica lo stato di Defender: assicurati che il servizio sia aggiornato e che le definizioni virus siano recenti
2. Monitora MsMpEng.exe: qualsiasi processo figlio anomalo è un IOC primario
3. Isola i sistemi ad alto rischio: server Domain Controller, workstation admin, sistemi con dati sensibili
4. Disabilita l'execution policy non necessaria: limita la possibilità di eseguire script arbitrari

Breve termine (1-2 settimane)

1. Implementa EDR con visibilità completa: se usi solo Defender, valuta un layer aggiuntivo. Strumenti come SentinelOne, CrowdStrike o Palo Alto Cortex offrono telemetry più granulare.
2. Hardening delle Group Policy: disabilita l'auto-esecuzione di file scaricati, limita PowerShell non firmato
3. Segmentazione utente: utenti standard non devono poter modificare servizi Windows
4. Backup verificato: verifica che i backup siano isolati e non modificabili da account compromessi

Medio termine (1-3 mesi)

1. Patch management rigoroso: implementa un processo che applichi le patch entro 72 ore dalla release
2. Purple team exercises: testa la tua capacità di detection e response con esercitazioni realistiche
3. Email security avanzata: la maggior parte degli attacchi inizia con phishing. Un filtro antispam con sandboxing e AI semantica blocca il vettore iniziale. MailSniper offre protezione inbound e outbound con analisi real-time di URL e allegati, riducendo il rischio che le email malevole raggiungano gli utenti
4. MFA su tutti gli account: l'accesso iniziale spesso deriva da credenziali compromesse. MFA con FIDO2 o app TOTP blocca la maggior parte di questi tentativi

Indicatori da monitorare

• Event ID 4657, 4663, 4670 nel Security Log
• Processi non firmati eseguiti da %SystemRoot%\System32\drivers
• Modifiche al servizio WinDefend
• File creati in cartelle di sistema da account non admin

OUTLOOK

Nei prossimi 3-6 mesi prevediamo:

1. Pubblicazione di PoC: è solo questione di tempo prima che i dettagli tecnici degli exploit diventino pubblici. Quando accadrà, il volume di attacchi aumenterà drasticamente.

1. Adozione da parte di ransomware: i gruppi criminali adopteranno queste tecniche una volta che i PoC saranno disponibili. Il passaggio da target APT a commodity exploit è tipicamente di 2-4 mesi.

1. Patch Microsoft: probabile rilascio entro 30-60 giorni per le due falle ancora aperte. Fino ad allora, il rischio rimane elevato.

1. Shift difensivo: le organizzazioni dovranno ripensare la fiducia nei prodotti Microsoft come "sicuri per design". L'approccio zero-trust deve estendersi anche ai tool di sicurezza.

La finestra di esposizione è critica. Le aziende che non implementano almeno le mitigazioni immediate nei prossimi giorni si espongono a rischi concreti di compromissione completa.