Per gli esperti di sicurezza di Microsoft questi sono giorni particolarmente “caldi”. A turbare i sonni degli sviluppatori è il caso legato al rilascio di tre proof of concept (PoC) da parte di un ricercatore di sicurezza, registrato su GitHubcon il nickname di Nightmare-Eclipse.

I PoC pubblicati sfruttano altrettante vulnerabilità di Microsoft Defender e, come emerge da alcuni report, risultano essere già stati sfruttati in attacchi informatici. A segnalare il loro utilizzo sono stati in particolare i ricercatori di Huntress.

Quella che si sta consumando, di conseguenza, è una vera corsa contro il tempo che per il momento ha portato a “disinnescare” solo una delle vulnerabilità (BlueHammer) attraverso la pubblicazione di un aggiornamento inserito nel Patch Tuesday di aprile 2026.

Una rappresaglia in tre mosse

La vicenda, stando alle prime ricostruzioni, affonderebbe le sue radici in un processo di responsible disclosure finito male. In sintesi: si tratterebbe di una sorta di vendetta portata avanti da un ricercatore che avrebbe contattato Microsoft per segnalare le vulnerabilità (ottenendo quindi il compenso dovuto con la classica logica del Bug Bounty) ma, per qualche ragione, avrebbe visto respingere le sue richieste.

La vicenda, a quanto si capisce, avrebbe poi avuto strascichi particolarmente “spiacevoli”.

In un blog intitolato Caothic Eclipse, il ricercatore spiega chiaramente le sue motivazioni: “Non ho mai voluto riaprire un blog e creare un nuovo account GitHub per pubblicare codice… Ma qualcuno ha violato il nostro accordo e mi ha lasciato senza casa e senza nulla. Sapevano che sarebbe successo e mi hanno comunque pugnalato alle spalle: è stata una loro decisione, non mia”.

Come reazione, Nightmare-Eclipse ha rilasciato i PoC riguardanti le vulnerabilità come forma di ritorsione. Piuttosto che pubblicare tutto il materiale in una sola volta, il ricercatore ha però centellinato i rilasci in quella che sembra una strategia ben pianificata.

La prima vulnerabilità, battezzata da lui stesso BlueHammer, è stata pubblicata su GitHub lo scorso 2 aprile. Nel giro di qualche giorno la notizia ha cominciato a circolare, ottenendo ancora maggiore amplificazione nel momento in cui Microsoft ha distribuito gli aggiornamenti di sicurezza del mese di aprile.

Le nuove vulnerabilità (RedSun e UnDefend), invece, sono state pubblicate a distanza di poche ore l’una dall’altra, proprio in concomitanza con il Microsoft Patch Tuesday. Il risultato è che la loro comparsa nel repository di Nightmare-Eclipse ha avuto una visibilità straordinaria.

L’impatto di RedSun

Le analisi dei nuovi exploit sono ancora piuttosto superficiali, ma alcuni degli elementi emersi permettono di collocare RedSun nella categoria dei Local Privilege Escalation (LPE) e, nel dettaglio, consente di elevare i privilegi fino al livello di SYSTEM. Alla vulnerabilità in questione, classificata come CVE-2026-33825, è stato assegnato uno score di 7,8.

A spiegare come funziona il bug che permette il suo funzionamento è lo stesso autore del PoC: “Quando Windows Defender si accorge che un file malevolo ha un tag cloud, per qualche motivo assurdo e quasi comico, l’antivirus che dovrebbe proteggere il sistema decide che sia una buona idea riscrivere semplicemente il file trovato nella sua posizione originale. Il PoC sfrutta questo comportamento per sovrascrivere file di sistema e ottenere privilegi amministrativi”.

La buona notizia è che RedSun, essendo un LPE, funziona solo in locale. Questo significa che un cyber criminale che volesse sfruttarlo dovrebbe avere già accesso alla macchina. Non una grande consolazione, dal momento che l’exploit va comunque a ingrossare l’arsenale dei criminali informatici e può essere usato all’interno di una catena di exploit per garantire una migliore efficacia all’attacco.

Non è escluso, poi, che dal PoC originale possa esserne sviluppata una versione Remote Code Execution (RCE). Un’ipotesi, questa, che si fonda anche sulle minacce pubblicate più recentemente sul blog Caothic Eclipse. “Non volevo essere malvagio, ma mi stanno attivamente provocando a iniziare a rilasciare RCE, cosa che farò a un certo punto… Mi assicurerò personalmente che diventi più divertente ogni volta che Microsoft rilascia una patch”.

Defender sabotato da UnDefend

Il secondo PoC pubblicato sul repository di Nightmare-Eclipse è qualcosa di completamente diverso. Si tratta di un piccolo strumento che è in grado di bloccare il sistema di aggiornamento delle signature di Defender e, in particolari condizioni, di provocare un’anomalia che lo disabiliterebbe completamente.

L’autore spiega che il blocco dell’update delle definizioni avviene quando UnDefend agisce in passive mode, mentre l’impostazione su aggressive mode porterebbe alla disabilitazione dello strumento di Microsoft.

Affinché questo avvenga, però, sarebbe necessario l’avvio di un aggiornamento “consistente” del software (non quindi un semplice update delle signature) che permetterebbe di bloccarne il funzionamento. Nel file readme pubblicato su GitHub, Nightmare-Eclipse sostiene anche di aver trovato un modo per ingannare la console web EDR e fare in modo che non segnali il blocco di Defender.

A suo dire, però, avrebbe deciso di non renderlo pubblico. “Stavo pensando di pubblicare il codice, ma dopo averci riflettuto causerebbe davvero troppi danni; quindi, penso che per ora terrò tutto da parte” ha scritto.