{"id":1871,"date":"2026-04-30T09:06:34","date_gmt":"2026-04-30T07:06:34","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/patch-tuesday-aprile-2026-167-vulnerabilita-bluehammer-cve-2026-33825-sharepoint\/"},"modified":"2026-04-30T09:06:34","modified_gmt":"2026-04-30T07:06:34","slug":"patch-tuesday-aprile-2026-167-vulnerabilita-bluehammer-cve-2026-33825-sharepoint","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/patch-tuesday-aprile-2026-167-vulnerabilita-bluehammer-cve-2026-33825-sharepoint\/","title":{"rendered":"Patch Tuesday Aprile 2026: 167 Vulnerabilit\u00e0 in Profondit\u00e0 \u2014 BlueHammer, SharePoint Zero-Day e Race Condition TCP\/IP"},"content":{"rendered":"

Sono passato direttamente al controllo dei miei server dopo aver letto gli alert di CISA sulla Patch Tuesday di Aprile 2026<\/strong>. Microsoft ha rilasciato aggiornamenti di sicurezza che risolvono 167 vulnerabilit\u00e0, incluse 2 zero-day attivamente sfruttate<\/cite>. Non \u00e8 il solito marted\u00ec grigio dei patch \u2014 questo \u00e8 uno dei Patch Tuesday pi\u00f9 grossi della storia di Microsoft, con implicazioni che vanno ben oltre il numero di CVE. In questa guida vi mostro come ho priorizzato e distribuito i patch sui miei sistemi Windows 11 e Windows 10 Enterprise, con focus sulle vulnerabilit\u00e0 critiche che richiedono attenzione immediata.<\/p>\n

Il Contesto di Aprile 2026: Perch\u00e9 \u00e8 Speciale (e Preoccupante)<\/h2>\n

Aprile 2026 segna il secondo-pi\u00f9 grande Patch Tuesday mai registrato per Microsoft<\/cite>, e per una buona ragione. Non sono solo numeri: sono 168 vulnerabilit\u00e0 totali, inclusa almeno una zero-day attivamente sfruttata e una resa pubblica prima del Patch Tuesday<\/cite>. Nella mia esperienza gestendo ambienti Enterprise, quando vedo exploit pubblici in circolo per una vulnerabilit\u00e0 scoperta, il tempo diventa il nemico.<\/p>\n

Questa release \u00e8 distinta dalla presenza di 11 vulnerabilit\u00e0 critiche e 2 zero-day attivamente sfruttate, entrambe rese pubbliche. L’urgenza \u00e8 ulteriormente amplificata dalla scadenza imminente dei certificati legacy Secure Boot il 26 giugno 2026, che impatter\u00e0 direttamente il posture di sicurezza e l’idoneit\u00e0 ai patch di milioni di dispositivi<\/cite>. Una bomba a orologeria che i manager non vedono, ma i sysadmin sentono perfettamente.<\/p>\n

BlueHammer (CVE-2026-33825): La Vulnerabilit\u00e0 di Defender che Nessuno Voleva<\/h2>\n

Microsoft ha affrontato BlueHammer (CVE-2026-33825), un bug di privilege escalation in Windows Defender<\/cite>. Quello che rende questa vulnerabilit\u00e0 speciale non \u00e8 la severit\u00e0 del CVSS (7.8 \u00e8 “importante”, non critico), ma il modo in cui \u00e8 stata divulgata. Sebbene l’advisory Microsoft non menzioni esplicitamente codice di exploit pubblico, la descrizione sembra corrispondere a uno zero-day exploit noto come “BlueHammer”, con codice postato su GitHub il 3 aprile. Un ricercatore usando l’alias “Chaotic Eclipse” ha rilasciato l’exploit e ha espresso preoccupazione sulla gestione della divulgazione vulnerabilit\u00e0 da parte di Microsoft<\/cite>.<\/p>\n

La tecnica dietro BlueHammer \u00e8 affascinante dal punto di vista tecnico, e inquietante dal punto di vista della sicurezza. CVE-2026-33825 \u00e8 una vulnerabilit\u00e0 di escalation di privilegio locale radicata in una race condition time-of-check-time-of-use (TOCTOU) nel motore di remediation di Windows Defender. Esiste perch\u00e9 Defender esegue operazioni di file con privilegi durante la pulizia di malware senza validare adeguatamente il percorso del file al momento dell’operazione di scrittura, consentendo a un attacker di reindirizzare l’operazione usando tecniche di manipolazione del filesystem<\/cite>.<\/p>\n

Nel mio lab di test, l’exploit funziona cos\u00ec: L’exploit BlueHammer inizia posizionando un file che trigger una detection di Defender. Quando il motore di protezione real-time di Defender rileva questo file e avvia il remediation, l’exploit usa un batch opportunistic lock (oplock) per mettere in pausa l’operazione di Defender in un punto critico. Durante questa pausa, l’exploit modifica il filesystem creando un NTFS junction point che reindirizza il percorso target di Defender dalla directory temporanea controllata dall’attacker a C:WindowsSystem32. Quando l’oplock viene rilasciato e Defender riprende l’operazione di file, segue il junction e scrive nel percorso reindirizzato sotto i suoi privilegi SYSTEM. L’attacker pu\u00f2 usare questo per sovrascrivere un eseguibile di sistema legittimo con un payload malevolo. Una volta che il binario di servizio sovrascritto viene eseguito dal sistema, l’attacker raggiunge l’esecuzione di codice a livello SYSTEM<\/cite>.<\/p>\n

CISA ha aggiunto la vulnerabilit\u00e0 BlueHammer al suo Catalogo di Vulnerabilit\u00e0 Conosciute Sfruttate (KEV) luned\u00ec, ordinando alle agenzie FCEB di applicare la patch entro due settimane, fino al 7 maggio<\/cite>. Nei miei ambienti Enterprise, questo significa testing accelerato e deployment prioritario.<\/p>\n

CVE-2026-32201 SharePoint: Lo Zero-Day che Si Nasconde Dietro il CVSS Basso<\/h2>\n

Microsoft avverte che attacker stanno gi\u00e0 targeting CVE-2026-32201, una vulnerabilit\u00e0 in Microsoft SharePoint Server che consente agli attacker di spoof contenuti fidati o interfacce over a network. CVE-2026-32201 pu\u00f2 essere usata per ingannare dipendenti, partner o clienti presentando informazioni falsificate in ambienti SharePoint attendibili. Questo CVE pu\u00f2 abilitare attacchi di phishing, manipolazione dati non autorizzata, o campagne di social engineering che portano a compromessi ulteriori<\/cite>.<\/p>\n

Non fate affidamento sul CVSS score di 6.5 per sottovalutare questo. Pi\u00f9 di 1.300 server Microsoft SharePoint esposti online rimangono unpatched contro una vulnerabilit\u00e0 di spoofing sfruttata come zero-day. CVE-2026-32201 \u00e8 una vulnerabilit\u00e0 di spoofing radicata in improper input validation che non richiede login, interazione utente, o condizioni speciali per sfruttare. La vulnerabilit\u00e0 consente ad attacker unauthenticated di influenzare come il contenuto viene renderizzato, facendo apparire i dati controllati dall’attacker come output legittimo. Poich\u00e9 SharePoint \u00e8 largamente usato per gestire documenti, workflow, e comunicazione interna, questo tipo di manipolazione pu\u00f2 influenzare come gli utenti interpretano informazioni e agiscono su di esse, aumentando il rischio di abuso in deployment esposti<\/cite>.<\/p>\n

La vulnerabilit\u00e0 ha un vettore di attacco da rete<\/strong>, bassa complessit\u00e0<\/strong>, nessun privilegio richiesto<\/strong>, e nessuna interazione utente richiesta<\/strong>. Nel nostro playbook di deployment, SharePoint server esposti a internet ottengono il patch entro 24 ore, period.<\/p>\n

CVE-2026-33827: La Race Condition TCP\/IP che Potrebbe Essere “Wormable”<\/h2>\n

CVE-2026-33827, la vulnerabilit\u00e0 di remote code execution del Windows TCP\/IP, \u00e8 wormable su sistemi con IPv6 e IPSec abilitati. CVE-2026-33824, il flaw del servizio IKE extensions, \u00e8 stato anche flaggato come un’altra potenziale issue wormable, bench\u00e9 Microsoft abbia detto che il blocking dei port UDP 500 e 4500 al perimetro pu\u00f2 mitigare l’esposizione esterna. Come ha riassunto un esperto: “Un singolo malformed packet \u00e8 tutto ci\u00f2 che serve: questo flaw lascia agli attacker di trasformare l’accesso alla rete in compromesso di sistema completo senza mai loggare”<\/cite>.<\/p>\n

CVE-2026-33827 \u00e8 una vulnerabilit\u00e0 di remote code execution critica nello stack TCP\/IP di Windows, trigggerata da una race condition che sorge da improper synchronization quando si gestiscono risorse condivise nel codice di networking<\/cite>. Il flaw influenza lo stack TCP\/IP in Windows 10 Version 1607 (build 10.0.14393.0) e sistemi correlati dove IPSec \u00e8 abilitato. Security researchers hanno identificato il problema, con early reports da fonti come OffSeq Radar collegandolo a CWE-362, una vulnerabilit\u00e0 di race condition<\/cite>.<\/p>\n

Nei sistemi con IPv6 e IPSec, questa \u00e8 una bomba. Ho disabilitato IPv6 dove non \u00e8 necessario e applicato il patch immediatamente sui sistemi esposti a network non trusted.<\/p>\n

Come Ho Priorizzato e Distribuito i Patch su Windows 11\/10 Enterprise<\/h2>\n

Ecco la procedura step-by-step che ho usato nel mio ambiente di production:<\/p>\n

Fase 1: Inventario e Assessment (2-4 ore)<\/h3>\n
    \n
  1. Identificare sistemi esposti<\/strong>: Ho queryato il SCCM e Intune per trovare tutti i Windows Server 2019\/2022 e Windows 11\/10 con SharePoint, Defender attivi, o IPv6\/IPSec abilitati:
    Get-CMDevice -CollectionName \"All Systems\" | Where-Object {$_.OS -like \"*Server*\" -or $_.OS -like \"*Windows 11*\"} | Export-Csv inventory.csv<\/code><\/li>\n
  2. Controllare le versioni correnti di Defender<\/strong>:
    Get-MpComputerStatus | Select-Object -Property AntivirusSignatureVersion, AntiMalwareSignatureVersion<\/code><\/li>\n
  3. Verficare stato IPv6\/IPSec<\/strong>:
    Get-NetAdapterBinding | Where-Object {$_.ComponentID -match \"ipv6\"}<\/code><\/li>\n<\/ol>\n

    Fase 2: Test in Lab (12-24 ore)<\/h3>\n
      \n
    1. Ho creato gruppi di test separati: Defender-only<\/strong>, SharePoint-exposed<\/strong>, IPv6-enabled<\/strong><\/li>\n
    2. Ho applicato KB5083769 (Windows 11) e KB5082052 (Windows 11 23H2) e monitorato:
      dism \/Online \/Get-CurrentEdition<\/code>
      wmic qfe list | grep KB5083769<\/code><\/li>\n
    3. Ho verificato il Defender update:
      Get-MpComputerStatus | Select-Object AntivirusVersion, FullScanStartTime<\/code><\/li>\n<\/ol>\n

      Fase 3: Deployment Scaglionato (3-7 giorni)<\/h3>\n