Mitighiamo il FunnyAPP.exe/BlueHammer tramite ASR

Regole ASR (applicabili anche tramite DEFENDER_UI)

L'applicazione di queste regole è a rischio e pericolo del lettore!

Regola ASR	Impatto quotidiano scuola	Frequenza falsi positivi	Soluzione
Office child proc (d4f940ab)	Macro Excel/VBA → errore "bloccato". Stampa/Outlook link esterni.	Media	Escludi %ProgramFiles%\Microsoft Office\root\Office16 se serve.
PSExec/WMI (d1e49aac)	Tool admin remoti.	Bassa (solo IT)	Escludi psexec.exe, wmiexec.py.
LSASS dump (9e6c4e1f)	Alta: MSI install Office/aggiornamenti Patch Tuesday → errore msiexec.exe.	Alta (tutti PC)	Escludi C:\Windows\SysWOW64\msiexec.exe (sicuro).
Exe da script (d3e037e1)	PowerShell batch admin (tuoi script). Download Chrome/Edge.	Media	Escludi powershell.exe se custom.
Office Win32 API (92e97fa1)	Macro avanzate, plugin.	Bassa	Raro.
USB unsigned (b2b3f03d)	Pendrive software non firmato (es. tool portatili).	Alta	Firma tool o escludi path USB noti.

Copia/incolla in BlueHammer_ASR_Prod_BLOCK.reg e importa. Copre ASR core + BlueHammer-specific + hardening Defender/VSS/CloudFiles. Riavvia dopo import.

 

Windows Registry Editor Version 5.00

 

; =====================================================

; ASR + Mitigazioni BlueHammer per PRODUZIONE (BLOCK MODE)

; Per scuole/endpoint Windows 10/11/Server 2022-2025

; By Marco Mira 2026 and IA Analysis

; =====================================================

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules]

 

; CORE ASR (BLOCK=1)

"d4f940ab-401b-4efc-aadc-ad5f3c50688a"=dword:00000001

"d1e49aac-8f56-4280-b9ba-993a6d77406c"=dword:00000001

;Non inserire per evitare problemi con Update

"9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2"=dword:00000001

;-------------------------------------------------------

"d3e037e1-3eb8-44c8-a917-57927947596d"=dword:00000001

 

; BLUEHAMMER-SPECIFIC (BLOCK=1)

"92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b"=dword:00000001

"e6db77e5-3df2-4cf1-b95a-636979351e5b"=dword:00000001

"b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4"=dword:00000001

 

; Defender Realtime hardening

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]

"DisableBehaviorMonitoring"=dword:00000000

"DisableOnAccessProtection"=dword:00000000

"DisableScanOnRealtimeEnable"=dword:00000000

 

; VSS manual

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS]

"Start"=dword:00000003

 

; Cloud Files hardening

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudFiles]

"DisableCloudFileSync"=dword:00000001

"DisablePlaceholderSync"=dword:00000001

 

Questo file .reg è uno script per migliorare la sicurezza in Windows: configura varie policy di difesa tramite il Registro di sistema. Quando eseguito, applica le seguenti modifiche:

Attack Surface Reduction (ASR) in modalità BLOCK

Il file abilita sette regole specifiche di riduzione della superficie di attacco di Microsoft Defender impostandole su valore 1 (Blocco):

• d4f940ab-401b-4efc-aadc-ad5f3c50688a: Blocca la creazione di processi figli da tutte le applicazioni Office
• d1e49aac-8f56-4280-b9ba-993a6d77406c: Impedisce la creazione di processi originati da comandi PSExec e WMI
• 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2: Blocca il furto di credenziali da lsass.exe (commentato con avviso su possibili problemi con Windows Update)
• d3e037e1-3eb8-44c8-a917-57927947596d: Impedisce a JavaScript/VBScript di avviare contenuti eseguibili scaricati
• 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b: Blocca le chiamate API Win32 dalle macro Office
• e6db77e5-3df2-4cf1-b95a-636979351e5b: Impedisce la persistenza tramite sottoscrizione a eventi WMI
• b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4: Blocca processi non attendibili/non firmati eseguiti da unità USB

Miglioramento di Windows Defender

Nella sezione Real-Time Protection, tutti i valori sono impostati su 0, il che significa che:

• Behavior Monitoring è attivato (non disabilitato)
• On-Access Protection è attivato
• Scan on Realtime Enable è attivato

Altri servizi di sistema

• Il servizio VSS (Volume Shadow Copy) è impostato su avvio manuale (Start=3) anziché automatico
• Le funzioni di sincronizzazione cloud di OneDrive/Files On-Demand sono disabilitate tramite:
• DisableCloudFileSync=1
• DisablePlaceholderSync=1

Questa configurazione rappresenta un baseline di sicurezza per ambienti produttivi e scolastici (Windows 10/11/Server 2022-2025), progettata per bloccare tecniche di attacco comuni mantenendo attive le protezioni fondamentali di Defender. Il commento "

"Non inserire per evitare problemi con Update" indica che l'attivazione della regola ASR 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 potrebbe interferire con gli aggiornamenti di Windows!

Post-import: Verifica immediata

1. Controlla ASR attive

Get-MpPreference | Select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

2. Log recenti

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational'; ID=1121,1122} -MaxEvents 5

3. Riavvia MpEngine

Restart-Service WinDefend

 

Per deploy scuola (100+ PC)

Tramite GPO: Copia keys in Computer Configuration > Preferences > Registry.

Risultato: Copertura 85-90% su BlueHammer – ASR blocca dropper/esecuzione, hardening riduce VSS/CloudFiles. 

 

FunnyApp (continua...)

Uno script di PowerShell di verifica (copiare ed incollare in PowerShell ISE come admin):

# Baseline difensivo - eseguire in PowerShell elevato su sistema di test

Write-Host "=== Stato Microsoft Defender ==="

Get-MpComputerStatus | Select-Object AMProductVersion, AntivirusSignatureVersion,

    AntivirusSignatureLastUpdated, RealTimeProtectionEnabled

Write-Host "`n=== Shadow copy esistenti ==="

Get-CimInstance Win32_ShadowCopy | Select-Object ID, InstallDate, DeviceObject

Write-Host "`n=== VSSADMIN ==="

vssadmin list shadows

Il risultato potete darlo da leggere ad una IA tipo Gemini o Perplexity, ogni anomalia sarà verificata! Ormai l'IA è fondamentale per sistemisti, programmatori ma anche per semplificare il lavoro. Analizzare i dati e trarre conclusioni. I miei articoli sono sempre basati sull'IA istruita per scrivere dell'argomento desiderato...

BlueHammer & FunnyApp.exe: Il Zero-Day Windows che Microsoft non ha ancora patchato

Cos'è BlueHammer?

BlueHammer è una vulnerabilità zero-day di Local Privilege Escalation (LPE) su Windows, resa pubblica nei primi giorni di aprile 2026 da un ricercatore di sicurezza anonimo con l'alias Chaotic Eclipse / Nightmare-Eclipse. Il nome dell'eseguibile nel PoC (Proof of Concept) è proprio FunnyApp.exe, un nome volutamente ironico per un test che, in realtà, ha ben poco di divertente.

Il ricercatore avrebbe deciso di pubblicare il codice dopo forti attriti con Microsoft e con il processo di gestione della segnalazione privata. Il risultato è uno scenario parecchio scomodo: exploit pubblico, patch assente e grande attenzione da parte della community di sicurezza.

Come funziona la catena d'attacco

BlueHammer non è una singola falla isolata, ma una catena di exploit che mette insieme più componenti di Windows perfettamente legittimi, usati però nel modo sbagliato.

Componente	Funzione normale	Ruolo in BlueHammer
Microsoft Defender (update RPC)	Aggiornare le firme antivirus	Viene indotto a creare uno snapshot VSS tramite chiamate al motore di aggiornamento
VSS (Volume Shadow Copy)	Backup consistenti	Lo snapshot viene mantenuto abbastanza a lungo da esporre file normalmente bloccati
Cloud Files API	Sincronizzazione file cloud	Viene registrata una falsa sync root per manipolare il flusso operativo
Oplock (Opportunistic Lock)	Ottimizzazione cache filesystem	Usato per bloccare e sincronizzare il momento giusto dell'accesso ai file
SAM / SYSTEM / SECURITY hives	Database account locali e credenziali	Vengono letti dal percorso shadow copy, aggirando le normali protezioni

I 5 passi dell'escalation

1. Controllo aggiornamenti Defender: il codice verifica se esiste un aggiornamento di definizioni disponibile.
2. Creazione snapshot VSS: viene attivato il workflow di aggiornamento di Defender, che porta alla creazione dello snapshot.
3. Trappola con Cloud Files: una sync root fasulla e un file placeholder vengono usati per intercettare il momento in cui Defender tocca il file-esca.
4. Lettura degli hive: con lo snapshot ancora accessibile, l'attaccante prova a leggere SAM, SYSTEM e SECURITY.
5. Passaggio a SYSTEM: recuperate le informazioni necessarie, il codice punta a ottenere privilegi elevati fino ad arrivare a una shell SYSTEM.

Quanto è pericoloso davvero?

La risposta breve è: molto. Non si tratta di un exploit remoto puro, ma di una falla che diventa devastante non appena un attaccante riesce ad avere anche solo un accesso locale limitato alla macchina.

Ed è qui che tanti sottovalutano il problema: “locale” non significa per forza “fisico davanti al PC”. Un attaccante può arrivare a quel punto tramite phishing, credenziali rubate, esecuzione di codice già ottenuta in altro modo o abuso di un altro software vulnerabile. Una volta dentro come utente standard, BlueHammer può fare il salto di qualità.

Stato attuale

Aspetto	Stato
Exploit pubblico	Sì, il codice è circolato pubblicamente
Patch ufficiale	No, almeno nelle prime fasi della diffusione
CVE assegnato	Non chiaramente disponibile nelle analisi iniziali
Rilevamento Defender	Parziale, più affidabile sul campione originale che su varianti ricompilate
Windows Server	Comportamento variabile, con esiti non sempre identici ai client desktop

In pratica, la situazione iniziale è stata quella classica che fa girare parecchio le scatole agli amministratori: exploit pubblico, patch non ancora pronta e necessità di arrangiarsi con monitoraggio, hardening e buon senso operativo.

Il contesto: non è la prima volta

BlueHammer ricorda ad alcuni analisti un altro caso molto noto: HiveNightmare, la vulnerabilità del 2021 che esponeva file sensibili come SAM, SYSTEM e SECURITY a causa di permessi configurati male. Il meccanismo tecnico non è identico, ma il risultato finale fa paura nello stesso modo: l'attaccante mette le mani su materiale critico del sistema.

Caso	Problema principale	Risultato
HiveNightmare	Permessi errati sui file di registro protetti	Esposizione di hive sensibili
BlueHammer	Combinazione di componenti legittimi e race condition	Lettura hive + escalation fino a privilegi elevati

Come difendersi adesso

Finché non arriva una correzione ufficiale chi gestisce ambienti Windows dovrebbe puntare soprattutto su visibilità e contenimento. Non risolve tutto, ma riduce parecchio il rischio di farsi sorprendere.

• Monitorare accessi anomali ai percorsi HarddiskVolumeShadowCopy*.
• Controllare registrazioni sospette tramite Cloud Files API.
• Tenere d'occhio reset o cambi password anomali sugli account amministrativi locali.
• Verificare la creazione di servizi temporanei o transitori in momenti sospetti.
• Bloccare, dove possibile, l'esecuzione di binari non fidati in contesti utente.
• Limitare al massimo i privilegi degli utenti standard.

Tradotto brutalmente: se uno riesce a mettere piede su un endpoint Windows con un account scarso, non deve trovare la strada spianata per trasformarsi nel padrone del sistema.

La morale della storia

BlueHammer è il classico esempio di responsible disclosure andata male. Un ricercatore segnala, il rapporto con il vendor si rompe, il codice esce pubblicamente e nel mezzo restano amministratori, aziende, scuole e utenti finali a prendersi il rischio in faccia.

Quindi, non è il solito malware commerciale con una famiglia super catalogata, ma un proof-of-concept offensivo legato a una zero-day reale, capace di trasformare un accesso locale limitato in controllo quasi totale della macchina.

Fonti

• BleepingComputer - Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit
• Penligent - BlueHammer and the Windows Defender Race to SYSTEM
• Reddit - discussione su FunnyApp.exe e BlueHammer
• https://github.com/technoherder/BlueHammerFix/blob/main/FunnyApp.cpp