// TOM'S HARDWARE ITALIA — CYBERSECURITY
Falla in Windows Defender già sfruttata dai ransomware, imprese esposte senza patch
La vulnerabilità BlueHammer in Windows Defender, già corretta da Microsoft con una patch rilasciata il 14 aprile, viene ora indicata dalla CISA come sfruttata in campagne ransomware, secondo l'articolo originale di Tom's Hardware. Per le imprese italiane con parchi Windows distribuiti tra sedi, notebook remoti e macchine legacy, la questione non si ferma alla disponibilità della correzione: entra nella gestione operativa del patching, nella prova documentale dei controlli e, per i soggetti nel perimetro NIS, nella governance del rischio cyber.
BlueHammer è descritta come una race condition che consente di ottenere una shell con privilegi SYSTEM tramite uno script ridotto. Tom's Hardware sottolinea che, con quel livello di accesso, un attacco ransomware può arrivare a cifrare parti del sistema operativo o del processo di avvio, non solo i file dati, rendendo le macchine inutilizzabili oltre che indisponibili.
La falla è tracciata come CVE-2026-33825 e riguarda Microsoft Defender. La descrizione ufficiale riportata dalle banche dati parla di granularità insufficiente nel controllo degli accessi, con possibilità per un attaccante autorizzato di elevare localmente i privilegi. La correzione è stata distribuita nel ciclo degli aggiornamenti Windows, quindi il controllo richiesto alle aziende è verificare se sia stata effettivamente applicata su tutti gli endpoint esposti.
La scheda CISA collegata alla vulnerabilità mostra l'inserimento nel catalogo Known Exploited Vulnerabilities il 22 aprile 2026, con scadenza di remediation al 6 maggio 2026 per le agenzie federali statunitensi, come risulta nel catalogo KEV della CISA. L'aggiornamento segnalato da Tom's Hardware aggiunge il passaggio successivo: l'indicazione di utilizzo in campagne ransomware.
Per gli amministratori non basta quindi leggere la presenza di una patch in console. La scheda nella scheda tecnica del NVD indica tra le versioni interessate Microsoft Defender Antimalware Platform precedenti a 4.18.26030.3011 e classifica la debolezza come CWE-1220. In ambienti enterprise, questo dato va confrontato con l'inventario reale: dispositivi spenti, utenti fuori VPN, immagini non aggiornate e macchine escluse dai ring di update sono spesso il punto in cui la copertura dichiarata si allontana dalla copertura effettiva.
Il dato operativo richiamato dalla fonte è il tempo medio necessario a portare le patch critiche sui sistemi. Absolute Security, nel suo Resilience Risk Index 2026, afferma che l'applicazione delle patch critiche di sistema operativo su PC Windows 10 e Windows 11 è in ritardo in media di 127 giorni; negli ambienti enterprise il tempo medio indicato è 76 giorni, mentre il rapporto dell'anno precedente parlava di 56 giorni, come riportato nel rapporto 2026 di Absolute.
Tom's Hardware osserva che la media è già un segnale severo, ma nasconde una coda più lunga: se il valore medio è di oltre quattro mesi, una parte delle macchine resta scoperta più a lungo. In termini aziendali significa che il rischio non è soltanto tecnico, ma di processo: finestre di manutenzione troppo strette, eccezioni non riesaminate, endpoint non raggiunti e assenza di metriche affidabili trasformano una patch disponibile in una remediation incompleta.
BlueHammer rende questo passaggio più concreto perché la correzione non richiede una procedura fuori standard: secondo la fonte primaria, è parte degli aggiornamenti Windows. Quando un aggiornamento ordinario resta fuori da una quota di endpoint, il problema da cercare non è nel canale di rilascio ma nel controllo del ciclo di vita: chi approva, chi testa, chi distribuisce, chi verifica e chi firma l'eccezione quando una macchina non può essere aggiornata.
La superficie esposta è aggravata dalla permanenza di Windows 10. Tom's Hardware cita stime divergenti sulla quota di macchine Windows 10, tra il 15% di PassMark e il 26% di StatCounter; nelle rilevazioni globali di maggio 2026, StatCounter attribuisce a Windows 10 il 26,36% delle vers