La vulnerabilità BlueHammer presente in Microsoft Windows Defender, già risolta da Microsoft con una patch rilasciata il 14 aprile, è stata identificata dalla CISA (Cybersecurity and Infrastructure Security Agency) come attivamente sfruttata in campagne ransomware. Questa situazione espone le aziende italiane che utilizzano sistemi Windows distribuiti tra diverse sedi, laptop remoti e infrastrutture legacy a un rischio significativo. La gestione operativa del patching, la documentazione dei controlli effettuati e, per le organizzazioni soggette alla normativa NIS (Network and Information Security), una solida governance del rischio cyber diventano quindi elementi cruciali.

BlueHammer è descritta come una condizione di race condition che consente a un attaccante di ottenere l’accesso con privilegi SYSTEM tramite uno script relativamente semplice. Questo livello di accesso compromette la sicurezza dell’intero sistema, poiché un attacco ransomware potrebbe cifrare non solo i file dati, ma anche componenti essenziali del sistema operativo o del processo di avvio, rendendo le macchine completamente inutilizzabili.
La vulnerabilità è tracciata come CVE-2026-33825 e interessa Microsoft Defender. La descrizione ufficiale fornita dalle banche dati specializzate evidenzia una granularità insufficiente nel controllo degli accessi, permettendo a un attaccante autorizzato di elevare i propri privilegi localmente. La patch è stata distribuita attraverso il consueto ciclo di aggiornamenti Windows, pertanto le aziende devono verificare attentamente se sia stata applicata correttamente su tutti gli endpoint potenzialmente esposti.
La scheda informativa della CISA relativa a questa vulnerabilità indica l’inserimento nel catalogo Known Exploited Vulnerabilities (KEV) il 22 aprile 2026, con una scadenza per la remediation fissata al 6 maggio 2026 per le agenzie federali statunitensi. L’aggiornamento più recente segnala ora che la vulnerabilità è effettivamente in fase di sfruttamento attivo in campagne ransomware.
La scheda tecnica del National Vulnerability Database (NVD) indica che le versioni interessate sono Microsoft Defender Antimalware Platform precedenti alla versione 4.18.26030.3011 e classifica la debolezza come CWE-1220. In un contesto aziendale, questo dato deve essere confrontato con l’inventario hardware e software reale per identificare eventuali discrepanze: dispositivi spenti, utenti connessi tramite VPN, immagini non aggiornate e macchine escluse dai processi di aggiornamento rappresentano spesso i punti deboli nella copertura complessiva.
Un aspetto critico è il tempo necessario per applicare le patch di sicurezza. Secondo il Resilience Risk Index 2026 pubblicato da Absolute Security, l’applicazione delle patch critiche per i sistemi operativi Windows 10 e Windows 11 risulta in ritardo in media di 127 giorni. Nelle aziende, questo ritardo medio si attesta a 76 giorni, un dato leggermente migliorato rispetto ai 56 giorni rilevati nel rapporto dell’anno precedente.
Anche se una media di 76 giorni può sembrare accettabile, nasconde una realtà più complessa: una parte significativa delle macchine resta vulnerabile per periodi ancora più lunghi. Questo significa che il rischio non è solo tecnico, ma anche legato ai processi interni: finestre di manutenzione troppo strette, eccezioni non riesaminate adeguatamente, endpoint irraggiungibili e l’assenza di metriche affidabili possono trasformare una patch disponibile in una remediation incompleta.
BlueHammer rende questo aspetto ancora più concreto perché la correzione è inclusa negli aggiornamenti standard di Windows. Quando un aggiornamento ordinario non viene applicato a una parte degli endpoint, il problema risiede nel controllo del ciclo di vita: chi approva l’aggiornamento, chi lo testa, chi lo distribuisce, chi ne verifica l’applicazione e chi autorizza eventuali eccezioni quando una macchina non può essere aggiornata.
La presenza ancora rilevante di Windows 10 aggrava la situazione. Stime indicano che tra il 15% (secondo PassMark) e il 26% (secondo StatCounter) delle macchine Windows utilizzano ancora Windows 10. I dati globali di maggio 2026, rilevati da StatCounter, attribuiscono a Windows 10 una quota del 26,36% dei sistemi desktop Windows. Questa percentuale potrebbe non corrispondere esattamente alla situazione specifica di un’azienda, ma evidenzia che la base installata di Windows 10 rimane significativa.
BlueHammer sposta l’attenzione dal semplice rilascio della patch alla capacità delle aziende di verificarne l’adozione su tutti gli endpoint, inclusi i sistemi legacy e in conformità con le normative NIS2. La fonte primaria ricorda inoltre che Microsoft ha esteso il supporto per Windows 10 con aggiornamenti di sicurezza fino al 14 ottobre 2027. Per un’azienda, è fondamentale verificare l’effettiva iscrizione al programma Extended Security Update (ESU) e non dare per scontato che Windows 10 sia ancora coperto: una macchina non iscritta, non aggiornata o non monitorata rimane un endpoint vulnerabile anche se esiste un percorso di supporto.
Le piccole e medie imprese italiane, così come le aziende con sedi distribuite, spesso si trovano a gestire un parco macchine misto: workstation recenti gestite con strumenti moderni accanto a PC più datati utilizzati per funzioni amministrative, magazzino, assistenza o terminali di servizio. BlueHammer richiede un approccio proattivo e non teorico: la priorità è estrarre l’elenco dei dispositivi Windows, incrociarlo con la versione della piattaforma Defender e isolare le macchine che non hanno ricevuto gli aggiornamenti di aprile.
Per i soggetti italiani rientranti nel perimetro normativo del D.Lgs. 138/2024 (che recepisce la direttiva NIS2), l’Agenzia Nazionale per la Cybersicurezza (ACN) assume un ruolo centrale. La pagina istituzionale dell’Agenzia descrive in dettaglio gli obblighi a carico dei soggetti interessati, definendo dieci ambiti specifici per le misure di sicurezza e stabilendo un processo chiaro per la notifica degli incidenti.
In questo contesto, una vulnerabilità sfruttata in campagne ransomware non è semplicemente una voce nel backlog del Security Operations Center (SOC). Per i soggetti essenziali e importanti, il patch management, la gestione delle vulnerabilità, il controllo degli accessi, la continuità operativa e la gestione degli incidenti devono essere processi documentati e verificabili.
Tom’s Hardware riporta infine che Nightmare Eclipse ha annunciato la fine di una pausa e nuove pubblicazioni nel mese di luglio. Questo dato non consente di prevedere il contenuto dei prossimi exploit, ma sottolinea l’importanza di monitorare costantemente le advisory Microsoft, i cataloghi KEV, i feed CVE e la telemetria EDR con un processo che colleghi tempestivamente le notizie alla lista degli asset aziendali.
BlueHammer evidenzia una catena semplice da verificare: vulnerabilità nota, patch disponibile, sfruttamento registrato e ritardi medi di aggiornamento ancora significativi. Per le aziende italiane, la risposta concreta richiede un inventario accurato, metriche di deployment affidabili, una gestione formale delle eccezioni e procedure di ripristino testate.
Hardware Ready Ready to Bench?