Un ricercatore di sicurezza ha litigato con Microsoft e ha pubblicato il codice per sfruttare tre vulnerabilità di Windows Defender su GitHub. Risultato: almeno un’organizzazione è già stata compromessa.
Chaotic Eclipse contro Microsoft: tre exploit in due settimane
Nelle ultime due settimane, un ricercatore noto online come Chaotic Eclipse ha pubblicato sul proprio blog e su GitHub il codice per sfruttare tre vulnerabilità di Windows, battezzate BlueHammer, UnDefend e RedSun.
Il movente è esplicito: Chaotic Eclipse ha scritto “I was not bluffing Microsoft and I’m doing it again”, con un ringraziamento sarcastico al Microsoft Security Response Center. Una rottura del dialogo classica, resa pubblica nel peggiore dei modi possibili.
⚠️ Attenzione: Tutte e tre le vulnerabilità colpiscono Windows Defender e permettono a un attaccante di ottenere privilegi di amministratore sul sistema. BlueHammer è l’unica già patchata da Microsoft.
Huntress lancia l’allarme: gli exploit vengono usati adesso
Il 17 aprile 2026, la società di cybersecurity Huntress ha comunicato su X di aver rilevato attacchi reali che sfruttano tutti e tre i bug. Almeno una organizzazione è stata compromessa, anche se l’identità della vittima e degli attaccanti non è ancora nota.
La situazione è quella più scomoda possibile: UnDefend e RedSun non hanno ancora una patch ufficiale, e il codice per sfruttarli è liberamente disponibile su GitHub da giorni. Chiunque abbia competenze tecniche di base può usarlo.
Per capire quanto possa essere pericolosa questa finestra temporale senza correzioni, ti basta leggere cosa succede ogni mese con il Patch Tuesday di marzo 2026: i 5 bug Windows più pericolosi , e lì almeno le patch erano già pronte.
Full disclosure: uno strumento legittimo usato come arma
La full disclosure è una pratica riconosciuta nella comunità della sicurezza informatica: se il vendor non risponde o temporeggia, il ricercatore pubblica tutto, vulnerabilità e proof-of-concept inclusi. L’idea è che la pressione pubblica forzi una risposta più rapida.
In questo caso però il meccanismo si è spezzato in modo pericoloso. Microsoft ha risposto con una dichiarazione generica sul “coordinated vulnerability disclosure” senza entrare nei dettagli del conflitto con Chaotic Eclipse. Onestamente, quella risposta mi sembra un modo per chiudere la porta senza affrontare il problema vero: cosa è andato storto nel rapporto con questo ricercatore, e perché due vulnerabilità critiche su Windows Defender sono ancora senza patch mentre gli attacchi sono già in corso.
Se usi Windows in un contesto aziendale, il consiglio pratico è monitorare gli aggiornamenti di sicurezza con priorità assoluta nelle prossime ore. Tenere d’occhio il bollettino Microsoft e applicare BlueHammer patch immediatamente se non l’hai già fatto.
Per chi vuole anche uno strato di protezione aggiuntivo lato endpoint, ho confrontato le opzioni in antivirus gratis per PC Windows: quali valgono davvero. E ricorda: Windows Defender compromesso significa che l’attaccante può disattivare la prima linea di difesa del sistema operativo prima ancora di procedere con qualsiasi altro movimento laterale.
- BlueHammer: patchata questa settimana da Microsoft
- UnDefend: ancora senza patch, exploit pubblico su GitHub
- RedSun: ancora senza patch, exploit pubblico su GitHub
Il problema sistemico è che questo tipo di situazione si ripete: un ricercatore trova un bug serio, la comunicazione con il vendor si inceppa, e alla fine i dati reali degli utenti pagano il prezzo di una disputa interna. Vale anche a livello consumer: se ricevi file sospetti su WhatsApp, considera che vettori del genere vengono usati attivamente in questo periodo, come abbiamo documentato in se usi WhatsApp su Windows, c’è un file che non devi aprire.
Stay tech 🦾
