[Upd: aggiornamento disponibile] BlueHammer: exploit zero-day per Windows pubblicato su GitHub
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 18/04/2026, 21:11
- Pubblicato: 18/04/2026, 21:09
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Stai leggendo un articolo su Microsoft Windows
Per tutti gli articoli e le guide che riguardano il più popolare sistema operativo per PC, sfoglia il "Canale Windows".
Un ricercatore di sicurezza noto con l'alias Chaotic Eclipse ha pubblicato su GitHub il codice di un exploit per una vulnerabilità di Windows ancora priva di patch. L'exploit, ribattezzato BlueHammer, sfrutta una falla che consente a un attaccante di ottenere permessi di livello SYSTEM - il massimo grado di controllo su una macchina Windows. Nessuna correzione ufficiale è disponibile: per definizione, siamo dunque di fronte a uno zero-day.
La vulnerabilità sfruttata da BlueHammer è stata corretta con la versione 4.18.26050.3011 della piattaforma antimalware, distribuita il 15 aprile 2026
Lo stresso ricercatore ha pubblicato altre due vulnerabilità: RedSun e UnDefend
Una divulgazione nata dalla frustrazione
Chaotic Eclipse - che su GitHub opera con il nome Nightmare-Eclipse - non è un outsider del settore. La vulnerabilità era stata segnalata in modo privato a Microsoft Security Response Center (MSRC), seguendo il percorso che l'industria considera prassi standard. Poi qualcosa si è rotto.
Le parole del ricercatore lasciano poco spazio all'interpretazione. «Non stavo bluffando Microsoft, e lo sto facendo di nuovo», scrive nel post del proprio blog - lasciando intendere che non è la prima volta che minaccia, e porta a termine, una pubblicazione dopo un disaccordo con MSRC.
E ancora: «A differenza delle volte precedenti, non spiegherò come funziona; voi geni potete arrivarci da soli. Inoltre, un enorme ringraziamento alla leadership di MSRC per aver reso tutto questo possibile.». Sarcasmo a parte, il messaggio è preciso: la responsabilità, secondo Chaotic Eclipse, ricade su chi ha gestito male il processo.
Cosa sappiamo (e cosa no) della vulnerabilità
I dettagli tecnici resi pubblici sono volutamente scarni. Si tratta di una vulnerabilità di escalation dei privilegi su Windows: l'exploit permette di passare da un accesso limitato a permessi SYSTEM, aprendo la strada a una compromissione completa del sistema.
Nessun identificativo CVE è ancora stato assegnato alla vulnerabilità sfruttata. Non è chiaro quali versioni di Windows siano vulnerabili - un'assenza che rende difficile persino stimare la superficie di attacco reale. Microsoft, al momento, non ha rilasciato alcuna dichiarazione pubblica.
Il problema strutturale dietro BlueHammer
Questa vicenda riapre una questione che la comunità della sicurezza informatica conosce bene: cosa succede quando il meccanismo di comunicazione privata della scoperta di vulnerabilità si inceppa? Il modello prevede che il ricercatore segnali la falla al produttore, il produttore sviluppi una patch entro tempi ragionevoli, e solo dopo la vulnerabilità diventi pubblica. Quando una delle parti rompe il patto - per ritardi, comunicazione carente o decisioni percepite come irragionevoli - il risultato è esattamente questo: codice di exploit in circolazione senza alcuna difesa disponibile.
Non si tratta di giustificare la pubblicazione. Un exploit zero-day reso pubblico espone milioni di utenti a rischi concreti, indipendentemente dalle intenzioni di chi lo diffonde. Ma liquidare Chaotic Eclipse come un semplice irresponsabile significherebbe ignorare un pattern che si ripete. La storia recente è piena di ricercatori che hanno scelto la divulgazione pubblica dopo mesi di silenzio o risposte insoddisfacenti da parte dei grandi produttori. Il fatto che questo ricercatore affermi di averlo già fatto in passato rende il caso ancora più scomodo per Microsoft.
Cosa possono fare gli utenti
In assenza di una patch, le opzioni sono limitate. Una vulnerabilità di escalation dei privilegi richiede che l'attaccante disponga già di un accesso iniziale al sistema - non è un exploit eseguibile da remoto senza interazione. Questo riduce parzialmente il rischio, ma non lo elimina: in uno scenario realistico, BlueHammer potrebbe essere combinato con un altro vettore di attacco per ottenere il controllo totale della macchina.
Le raccomandazioni standard restano valide: mantenere aggiornato il software di sicurezza, limitare i privilegi degli account utente, monitorare gli avvisi di Microsoft per eventuali mitigazioni temporanee o patch fuori ciclo.
Il codice è là fuori, e chi sa dove cercare lo ha già trovato.
Fonti: twitter.com, reddit.com, bleepingcomputer.com
