UnDefend: il nuovo attacco zero-day che blocca Windows Defender (senza privilegi admin) (aggiornato: 18 aprile 2026, ore 17:22)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 46 minuti fa
- Pubblicato: 1 ora fa
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Stai leggendo un articolo su Microsoft Windows
Per tutti gli articoli e le guide che riguardano il più popolare sistema operativo per PC, sfoglia il "Canale Windows".
Tre exploit in tredici giorni, tutti diretti contro Windows Defender, tutti firmati dallo stesso ricercatore. L'ultimo della serie si chiama UnDefend ed è forse il più insidioso: non richiede privilegi di amministratore, non provoca crash evidenti, non lascia tracce visibili all'utente. Si limita a bloccare silenziosamente gli aggiornamenti delle firme antimalware, trasformando Defender in un guscio vuoto che continua a girare come se nulla fosse. Il proof-of-concept è stato pubblicato da un ricercatore noto come Chaotic Eclipse (alias Nightmare-Eclipse) ed è già stato osservato in attacchi reali. Microsoft non ha ancora rilasciato una patch.
Come funziona UnDefend
UnDefend è classificabile come strumento di denial-of-service locale contro il motore di protezione di Windows. Opera in due modalità distinte.
La modalità passiva, attiva per impostazione predefinita, impedisce a Defender di applicare qualsiasi nuovo aggiornamento delle definizioni malware. Ogni pacchetto di threat intelligence distribuito da Microsoft viene bloccato prima che MsMpEng.exe possa caricarlo. La protezione in tempo reale resta tecnicamente attiva, ma cieca rispetto a qualsiasi minaccia emersa dopo il momento dell'attacco. L'utente non riceve alcun avviso.
La modalità aggressiva va oltre: punta a disabilitare completamente Windows Defender. Si attiva però solo quando Microsoft distribuisce un aggiornamento della piattaforma antimalware - ossia un aggiornamento dei binari di MsMpEng.exe e componenti correlati, non delle semplici firme. Poiché questi aggiornamenti sono meno frequenti, la modalità aggressiva non è abilitata per impostazione predefinita. Quando scatta, Defender smette di rispondere del tutto.
C'è un dettaglio ulteriore, e non è rassicurante: Chaotic Eclipse afferma di aver scoperto anche un metodo per falsificare lo stato di Defender nella console web di un sistema EDR, facendolo apparire attivo e aggiornato quando non lo è. Il codice relativo a questa tecnica non è stato pubblicato.
Nessun privilegio richiesto: il nodo centrale
Il fattore che rende UnDefend così preoccupante è la superficie d'attacco minima necessaria. L'exploit funziona da un account utente standard, senza che sia necessaria alcuna escalation di privilegi. In altre parole: su Windows 10, Windows 11 e Windows Server 2019 e versioni successive, un qualsiasi utente con accesso locale - o un attaccante che ne abbia compromesso le credenziali - può eseguirlo. Windows Defender è il prodotto di sicurezza predefinito su oltre un miliardo di dispositivi Windows nel mondo: la scala del problema parla da sola.
Nessuna fonte pubblica ha finora fornito un'analisi a livello di codice del funzionamento interno di UnDefend paragonabile a quelle disponibili per gli altri due exploit della stessa serie. Sappiamo cosa fa, ma i dettagli implementativi restano nel proof-of-concept pubblicato su GitHub.
Tre exploit, un unico movente
UnDefend fa parte di una tripletta di vulnerabilità zero-day rilasciate da Chaotic Eclipse in rapida successione nell'aprile 2026, tutte rivolte contro componenti di Windows Defender:
» Leggi: BlueHammer: exploit zero-day per Windows pubblicato su GitHub
» Leggi: RedSun: zero-day per Windows Defender scavalca tutte le protezioni
La motivazione dichiarata dal ricercatore è la protesta contro le modalità con cui il Microsoft Security Response Center (MSRC) ha gestito il processo di divulgazione responsabile delle vulnerabilità - un caso che riapre il dibattito, mai sopito, sul rapporto tra ricercatori indipendenti e grandi vendor nella gestione delle falle di sicurezza.
Già sfruttati in attacchi reali
Huntress Labs ha confermato che tutti e tre gli exploit sono stati osservati in attacchi attivi. BlueHammer è stato rilevato in the wild a partire dal 10 aprile 2026, con esecuzione da percorsi come C:\Users\[REDACTED]\Pictures\FunnyApp.exe. RedSun e UnDefend sono stati individuati in uso combinato il 16 aprile.
Nel caso documentato da Huntress, il vettore d'attacco iniziale è stato un account SSLVPN compromesso, utilizzato per accedere al dispositivo Windows bersaglio. I comandi di enumerazione osservati prima dell'esecuzione degli exploit - whoami /priv, cmdkey /list, net group - indicano attività manuale da parte di un attaccante con accesso interattivo alla macchina, non un malware automatizzato. Huntress ha proceduto a isolare l'organizzazione colpita per contenere l'impatto.
La logica operativa è quella che preoccupa di più. Come evidenziato da Picus Security, UnDefend degrada progressivamente le difese impedendo l'arrivo di nuove firme, mentre RedSun o BlueHammer vengono impiegati per l'escalation di privilegi. Prima si acceca il guardiano, poi si prende il controllo della macchina.
La risposta di Microsoft (finora)
In una dichiarazione rilasciata a BleepingComputer, Microsoft ha affermato: «Microsoft ha un impegno verso i clienti nell'indagare i problemi di sicurezza segnalati e aggiornare i dispositivi interessati per proteggere i clienti il prima possibile. Sosteniamo inoltre la divulgazione coordinata delle vulnerabilità, una pratica ampiamente adottata nel settore che aiuta a garantire che i problemi vengano esaminati e affrontati con cura prima della divulgazione pubblica». Una risposta che suona più come boilerplate aziendale che come reazione urgente a tre zero-day di cui due ancora senza patch.
The Hacker News non aveva ricevuto risposta da Microsoft al momento della pubblicazione del proprio articolo. Al 17 aprile, né UnDefend né RedSun risultano corretti.
Cosa significa per gli utenti
Un exploit che non richiede privilegi di amministrazione abbassa drasticamente la soglia d'accesso per qualsiasi attaccante. L'assenza di indicatori visibili - nessun avviso, nessun errore - significa che un sistema compromesso può restare esposto per giorni o settimane senza che l'utente se ne accorga. E senza una patch all'orizzonte, le opzioni di mitigazione sono scarse.
Per chi si affida esclusivamente a Windows Defender, il consiglio immediato è verificare manualmente che le definizioni siano aggiornate e monitorare la data dell'ultimo aggiornamento delle firme. Un controllo banale, ma in questo momento è l'unico segnale d'allarme disponibile. Chi opera in ambienti aziendali dovrebbe valutare soluzioni EDR capaci di rilevare i pattern comportamentali associati a questi exploit, indipendentemente dallo stato delle firme di Defender.
Fonti: bleepingcomputer.com, ampcuscyber.com, thehackernews.com
