Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Alcuni exploit zero-day in Microsoft Defender, tra i quali RedSun e UnDefend, sono stati pubblicati dal ricercatore Chaotic Eclipse, i quali risultano già sfruttati in attacchi attivi. Le vulnerabilità consentono l'escalation di privilegi e denial of service, e al momento le patch per tali bug non sono ancora state rilasciate. Sembrerebbe che la storia si ripeta. Nel 2019 il ricercatore Sandboxescaper pubblicò degli exploit LPE su Windows all'insaputa di Microsoft, che poi l'assunse.
Il ricercatore Chaotic Eclipse, che in precedenza aveva pubblicato l’exploit BlueHammer per una vulnerabilità non corretta di Windows, ha continuato la sua “crociata” contro Microsoft e ha pubblicato altri due exploit zero-day per Microsoft Defender: RedSun e UnDefend. I ricercatori di Huntress hanno già documentato lo sfruttamento di tutte e tre le vulnerabilità in attacchi reali.
Tutte e tre le vulnerabilità (BlueHammer, RedSun e UnDefend) sono state rese pubbliche dal ricercatore di sicurezza Chaotic Eclipse (noto anche come Nightmare-Eclipse). All’epoca BlueHammer, il ricercatore pubblicò le informazioni su GitHub per protestare contro il modo in cui gli specialisti del Microsoft Security Response Center (MSRC) avevano gestito la sua segnalazione.
Non era chiaro all’epoca cosa avesse spinto esattamente il ricercatore a pubblicare la vulnerabilità. Ringraziò sarcasticamente la dirigenza dell’MSRC e scrisse che, a differenza dei tentativi precedenti, non aveva alcuna intenzione di spiegare come funzionasse il problema: “Voi geni lo scoprirete da soli”.
Verso la fine della scorsa settimana, Chaotic Eclipse è tornata alla carica con delle nuove informazioni e ha rilasciato altri due exploit: RedSun e UnDefend.
Questa volta, il ricercatore ha dichiarato di aver pubblicato gli exploit per protestare contro il trattamento riservato da MSRC ai ricercatori di sicurezza che segnalano vulnerabilità. Ha affermato che i rappresentanti di Microsoft lo avevano minacciato e gli avevano promesso di “rovinargli la vita”.
“Normalmente, avrei seguito tutta la procedura implorandoli di risolvere il bug, ma in breve, mi hanno fatto a pezzi e hanno usato ogni trucco infantile immaginabile. A un certo punto, non riuscivo a capire se avessi a che fare con una grande azienda o con qualcuno che si divertiva a vedermi soffrire”, scrive Chaotic Eclipse.
Il ricercatore ha anche affermato che MSRC era a conoscenza dell’imminente divulgazione di entrambe le vulnerabilità, ma ha ignorato gli avvertimenti. Chaotic Eclipse ha minacciato di pubblicare exploit per l’esecuzione di codice remoto (RCE) dopo ogni patch di Microsoft e intendeva rendere ogni pubblicazione successiva “ancora più esilarante”.
Mentre BlueHammer e RedSun sono vulnerabilità di escalation dei privilegi locali che consentono di ottenere privilegi a livello di SYSTEM, UnDefend opera in modo diverso e causa un denial of service, bloccando in definitiva gli aggiornamenti del database di Microsoft Defender.
Gli sviluppatori Microsoft hanno corretto la vulnerabilità di BlueHammer durante il Patch Tuesday di aprile, assegnandole l’identificativo CVE-2026-33825. Tuttavia, le patch per RedSun e UnDefend non sono ancora disponibili.
L’exploit RedSun sfrutta il comportamento della protezione basata sul cloud di Windows Defender. Come spiega l’autore, quando Defender rileva un file con un tag cloud, per qualche motivo lo sovrascrive nella sua posizione originale. L’exploit PoC sfrutta questo comportamento per sovrascrivere i file di sistema e ottenere privilegi amministrativi.
Will Dormann, rinomato specialista della sicurezza e analista capo delle vulnerabilità presso Tharros, ha confermato che RedSun funziona e consente di ottenere privilegi a livello di SYSTEM su Windows 10, Windows 11 e Windows Server 2019 completamente aggiornati.
Secondo Dormann, l’exploit utilizza l’API di Cloud Files, scrive un file di test EICAR, supera una “race condition” con la copia shadow del volume utilizzando oplock e quindi reindirizza l’operazione di scrittura a C:Windowssystem32TieringEngineService.exe tramite un collegamento simbolico. In definitiva, l’infrastruttura di Cloud Files esegue l’eseguibile sostituito dall’attaccante per conto di SYSTEM.
L’esperto ha inoltre osservato che diversi programmi antivirus presenti su VirusTotal rilevano la vulnerabilità grazie al file EICAR incorporato, ma la crittografia della stringa EICAR all’interno del file eseguibile riduce il livello di rilevamento.
Gli analisti di Huntress avvertono che lo sfruttamento della vulnerabilità BlueHammer in attacchi reali è iniziato il 10 aprile 2026 e che gli aggressori hanno iniziato a utilizzare RedSun e UnDefend il 16 aprile.
Nello specifico, i ricercatori hanno scoperto gli exploit UnDefend e RedSun su un dispositivo Windows violato utilizzando un utente SSLVPN compromesso. Questo attacco ha mostrato segni caratteristici di un’azione manuale: prima di implementare gli exploit, gli hacker hanno eseguito manualmente comandi di ricognizione come whoami /priv, cmdkey /list e net group.
I rappresentanti di Microsoft hanno dichiarato ai media che l’azienda sta già indagando sulle segnalazioni di problemi di sicurezza e che rilascerà aggiornamenti “il prima possibile”. L’azienda ha inoltre ribadito il suo impegno per una divulgazione coordinata delle vulnerabilità, in base alla quale i dettagli dei bug vengono pubblicati solo dopo il rilascio delle patch.
Sicuramente i nostri lettori ricorderanno un caso analogo quando la ricercatrice di sicurezza Sendboxescaper, pubblicò a suo tempo degli exploit di local privilege escalation LPE su Microsoft Windows. Si beffò a tal modo di Microsoft che riuscì per ben due volte ad effettuare l’escape della patch prodotta da Microsoft.
Successivamente Microsoft l’assunse nel team di ricercatori di sicurezza.
Sarà la stessa cosa per Chaotic Eclipse?
