rogueplanet etherrat teams

Microsoft corregge zero-day “RoguePlanet” su Defender, ma spaventa il malware EtherRAT su Teams

🛡️ Executive Summary

  • La vulnerabilità CVE-2026-50656, nota come RoguePlanet, permette l’elevazione dei privilegi fino a SYSTEM nel motore di Microsoft Defender.
  • Microsoft segnala campagne di social engineering che distribuiscono il malware EtherRAT attraverso chiamate fraudolente su Microsoft Teams.
  • Patch tempestive, aggiornamento del motore Defender e formazione degli utenti rappresentano le principali contromisure contro entrambe le minacce.

L’ecosistema Microsoft è al centro di due distinti avvisi di sicurezza che dimostrano come gli attaccanti continuino a combinare vulnerabilità tecniche e tecniche di social engineering per compromettere infrastrutture aziendali. Da una parte il colosso di Redmond ha corretto CVE-2026-50656, una vulnerabilità zero-day soprannominata RoguePlanet che consente l’elevazione dei privilegi fino al livello SYSTEM sfruttando un difetto nel motore di protezione di Microsoft Defender. Dall’altra, i ricercatori dell’azienda hanno documentato nuove campagne che utilizzano Microsoft Teams per convincere le vittime a installare il trojan EtherRAT, un malware multipiattaforma progettato per ottenere accesso remoto persistente ai sistemi compromessi. Le due minacce seguono percorsi differenti ma convergono sul medesimo obiettivo: garantire agli aggressori il controllo delle workstation e un punto di accesso privilegiato alle reti aziendali.

RoguePlanet sfrutta Defender per ottenere privilegi SYSTEM

La vulnerabilità RoguePlanet interessa il Malware Protection Engine di Microsoft Defender ed è stata classificata come CVE-2026-50656 con un punteggio CVSS 7.8. Il problema nasce dalla combinazione di una race condition e di una gestione non corretta della risoluzione dei collegamenti, condizioni che consentono a un aggressore locale di ottenere l’esecuzione di un prompt dei comandi con privilegi SYSTEM, il livello più elevato disponibile nel sistema operativo Windows. Secondo il ricercatore noto come Nightmare Eclipse, autore della scoperta, la proof-of-concept raggiunge percentuali di successo molto elevate su alcune configurazioni hardware e software, pur mostrando risultati differenti in altri ambienti. La vulnerabilità è sfruttabile sia con la protezione in tempo reale attiva sia quando Defender opera in modalità passiva, ampliando notevolmente la superficie di attacco. Poiché il motore di protezione è condiviso anche da prodotti come System Center Endpoint Protection e Microsoft Security Essentials, il problema interessa un numero significativo di installazioni Windows ancora supportate.

Microsoft distribuisce la patch e rafforza Defender

La correzione è stata distribuita attraverso l’aggiornamento automatico del Malware Protection Engine alla versione 1.1.26060.3008, che oltre a risolvere la vulnerabilità introduce ulteriori miglioramenti difensivi. Microsoft raccomanda agli amministratori di verificare che gli aggiornamenti automatici del motore antivirus siano correttamente configurati e che tutte le postazioni abbiano ricevuto la nuova versione. La divulgazione pubblica della vulnerabilità prima del rilascio della patch ha alimentato un confronto tra il ricercatore e Microsoft, che ha ricordato come la diffusione prematura di exploit possa esporre gli utenti a rischi significativi e ha ribadito la possibilità di intraprendere azioni legali qualora la pubblicazione di codice offensivo provochi danni concreti ai clienti. RoguePlanet segue altre vulnerabilità Windows divulgate negli ultimi mesi dallo stesso ricercatore e successivamente corrette durante i consueti aggiornamenti Patch Tuesday, confermando come il motore di protezione di Defender continui a rappresentare un obiettivo di particolare interesse per i ricercatori di sicurezza.

EtherRAT utilizza Teams come vettore di accesso iniziale

Annuncio

Parallelamente, Microsoft ha documentato una campagna di social engineering che sfrutta Microsoft Teams per distribuire il malware EtherRAT. L’attacco inizia generalmente con un’email di phishing contenente un falso documento PDF che simula un sondaggio aziendale. Dopo l’apertura del file, la vittima riceve una chiamata vocale su Teams proveniente da un account appartenente a un tenant Microsoft 365 esterno, identificato come “esterno sconosciuto”. L’aggressore si presenta come membro del reparto IT o del supporto tecnico e convince la vittima a condividere lo schermo e successivamente a installare software di accesso remoto legittimi, come AnyDesk o HopToDesk. Una volta ottenuto il controllo del computer, l’attaccante scarica un installer MSI ospitato su un dominio compromesso che funge da loader per l’installazione di EtherRAT.

Il malware usa Ethereum per nascondere il command and control

EtherRAT è un Remote Access Trojan sviluppato in Node.js e progettato per funzionare su più sistemi operativi. Dopo l’installazione, il malware offre agli aggressori funzionalità complete di amministrazione remota, consentendo l’esecuzione di comandi, il furto di file, la raccolta di credenziali e il mantenimento della persistenza sul sistema compromesso. L’aspetto più originale dell’architettura consiste nell’utilizzo della blockchain Ethereum per recuperare dinamicamente l’indirizzo del server di Command and Control, sfruttando smart contract pubblici per rendere più difficile il blocco dell’infrastruttura da parte dei difensori. Microsoft ha osservato che la campagna prende di mira soprattutto organizzazioni operanti nei settori finanziario e sanitario, con l’obiettivo di ottenere un accesso iniziale alle reti aziendali da utilizzare successivamente per movimenti laterali, escalation dei privilegi e raccolta di informazioni sensibili.

Teams introduce nuove difese contro il social engineering

Per contrastare queste campagne Microsoft ha introdotto ulteriori misure di sicurezza all’interno di Teams, rendendo più evidenti gli avvisi relativi alle chiamate provenienti da tenant esterni e offrendo agli amministratori strumenti aggiuntivi per gestire utenti e bot sospetti. Le nuove policy consentono, ad esempio, di mantenere partecipanti esterni in una sala d’attesa fino all’approvazione esplicita dell’organizzatore, riducendo le possibilità che aggressori possano impersonare operatori del supporto tecnico. L’azienda invita inoltre le organizzazioni a rafforzare i programmi di formazione del personale, poiché nessuna misura tecnica può impedire completamente un attacco quando è la stessa vittima a concedere volontariamente l’accesso remoto al proprio computer. Il riconoscimento tempestivo delle chiamate inattese, la verifica dell’identità del presunto operatore IT e il divieto di installare software su richiesta di interlocutori non verificati rappresentano elementi fondamentali della difesa.

Patch, monitoraggio e formazione restano le difese più efficaci

Le due minacce evidenziano come la sicurezza degli ambienti Microsoft richieda un approccio multilivello. Nel caso di RoguePlanet, la priorità consiste nell’assicurarsi che tutte le installazioni di Microsoft Defender abbiano ricevuto la versione aggiornata del motore antivirus e nel monitorare eventuali attività anomale che coinvolgano processi eseguiti con privilegi SYSTEM. Per EtherRAT, invece, la componente umana assume un ruolo centrale: gli utenti devono essere preparati a riconoscere tentativi di impersonificazione attraverso Microsoft Teams, mentre gli amministratori dovrebbero limitare l’accesso remoto, controllare l’esecuzione di installer MSI provenienti da fonti non autorizzate e analizzare regolarmente i log delle comunicazioni esterne. L’integrazione tra aggiornamenti tempestivi, monitoraggio continuo e formazione degli utenti continua a rappresentare la strategia più efficace per contrastare attacchi che sfruttano contemporaneamente vulnerabilità software e tecniche di ingegneria sociale.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto