BlueHammer abuses Windows Defender's update process to gain SYSTEM access
7 days ago
- #Zero-Day Exploit
- #Windows Security
- #Privilege Escalation
- BlueHammer是一种针对Windows Defender的零日漏洞利用,通过串联五个合法的Windows组件,实现从低权限账户到SYSTEM级别的特权提升。
- 该漏洞利用由一位使用Chaotic Eclipse别名的研究人员公开披露,并在GitHub上提供了完整的源代码,据称是因为微软违反了一项协议。
- BlueHammer需要等待一个未完成的Defender签名更新来触发;它利用了Defender的更新过程、卷影复制服务、云文件API、机会锁以及Defender的RPC接口。
- 工作原理是在签名更新期间冻结Defender,通过影子副本访问SAM数据库,解密NTLM哈希,更改管理员密码,并在恢复原始密码哈希之前生成一个SYSTEM命令提示符。
- 微软仅发布了一个检测原始编译二进制文件的签名更新,但该方法本身仍未被检测;目前没有补丁或CVE编号,该漏洞利用已确认在完全更新的Windows 10和11系统上有效。
- 检测BlueHammer的安全措施包括监控用户进程对VSS的枚举、未知进程对云文件同步根目录的注册,以及对本地管理员密码更改或服务创建的警报。