L'agenzia statunitense per la cybersicurezza CISA ha aggiornato il proprio catalogo delle vulnerabilit� sfruttate attivamente segnalando che BlueHammer, falla di Windows Defender gi� nota da mesi, viene ora utilizzata in campagne ransomware in corso. La patch correttiva, identificata come CVE-2026-33825, era disponibile da Microsoft gi� a met� aprile.
BlueHammer � una race condition che permette a un aggressore con accesso locale al dispositivo di ottenere privilegi a livello SYSTEM, il livello pi� alto di controllo su un sistema Windows. Lo sfruttamento non � banale ma, se riuscito, espone il database SAM che custodisce gli hash delle password degli account locali. Da l� un attaccante pu� muoversi pi� in profondit� nella rete, disattivare le difese o preparare la cifratura dei dati. Il laboratorio Huntress Labs aveva gi� segnalato in precedenza un utilizzo della falla come zero-day, prima ancora che Microsoft rilasciasse la correzione, con segni di attivit� manuale da parte degli aggressori e non di semplice automazione.
CISA aveva inserito la falla nel proprio catalogo delle minacce note gi� il 22 aprile, pochi giorni dopo la pubblicazione della patch. L'aggiornamento pi� recente segnala per� un salto di livello: gli stessi exploit vengono ora impiegati da gruppi ransomware, con conseguenze potenzialmente pi� gravi perch� possono colpire anche il processo di avvio del sistema operativo, non solo i file dell'utente.






