BlueHammer: Windows 0-day-Schwachstelle

Veröffentlicht am 9. April 2026 von Günter Born

WindowsNoch ein kurzer Nachtrag zu einem Thema, welches einige Tage liegen geblieben ist. Ein frustrierter Sicherheitsforscher hat bereits zum 3. April 2026 eine 0-day-Schwachstelle samt Exploit veröffentlicht, die Windows und den Defender betrifft. Über die Schwachstelle könnten Angreifer sich Zugriff auf das System und Systemrechte verschaffen.

Das Thema ist mir bereits am 6. April 2026 über nachfolgenden Tweet untergekommen, ich konnte aber nicht reagieren. Dort hieß es nur, dass ein Sicherheitsforscher ziemlich sauer sei, und eine 0-day-Schwachstelle im Windows Defender öffentlich gemacht habe.

BlueHammer

Dass da jemand mit dem Alias Chaotic Eclipse echt stinkig ist, kann man aus der zitierten Meldung herauslesen. Es heißt in der Botschaft, die sich an Microsoft richtet: "Ich erkläre nicht, wie das funktioniert. Ihr Genies könnt das selbst herausfinden." So 1+1 zusammen gezählt: Jemand hat eine Schwachstelle an Microsoft gemeldet, dort aber die Rückmeldung erhalten, dass es keine Schwachstelle sei, die eine Bug-Bounty-Prämie bekomme. Jedenfalls hat die betroffene Person dann diesen Blog-Beitrag auf Blog-Spot veröffentlicht. Und er hat auf GitHub einen Exploit veröffentlicht. Später haben die Kollegen von Bleeping Computer den Sachverhalt in diesem Artikel bestätigt.

Zusammenfassung des PoC aus obigem Tweet

Der Exploit zielt auf den internen Mechanismus zur Signaturaktualisierung des in Windows enthaltenen Microsoft Defender ab, um eine lokale Rechteausweitung zu erreichen. Der PoC stellt eine direkte Verbindung zur internen RPC-Schnittstelle des Defender (IMpService) her und ruft die Methode ServerMpUpdateEngineSignature auf. Diese Methode benutzt der Defender intern zur Installation von Engine-Updates. Dadurch kann ein Angreifer den Prozess des Defender, der auf SYSTEM-Ebene läuft, auf ein von ihm kontrolliertes Verzeichnis verweisen, um Defender Engine-Updates zu holen.

Der Exploit lädt das aktuelle Defender-Signatur-Update von der offiziellen URL von Microsoft herunter, analysiert die PE-Datei, um die eingebettete CAB-Datei aus dem Ressourcenbereich zu extrahieren, und entpackt diese im Arbeitsspeicher mithilfe der Windows Cabinet API.

Der PoC missbraucht anschließend NTFS-Symlinks/Junction-Einträge über undokumentierte NT-APIs (NtCreateSymbolicLinkObject, NtSetInformationFile), um Dateioperationen des Defender im SYSTEM-Kontext auf vom Angreifer kontrollierte Speicherorte umzuleiten. Es gibt eine Race Condition, die über Callbacks der Windows Cloud Files API (cfapi) und Volume Shadow Copy-Strukturen gesteuert werden kann.

Außerdem nutzt der Exploit die Offline-Registrierungsbibliothek von Microsoft (offreg), was auf mögliche Manipulationen an den Defender-Konfigurations-Hives außerhalb des Echtzeitschutzes hindeutet. Am Ende ermöglicht dies eine Privileg Escalation oder  Umgehung von Sicherheitsmechanismen.

Zum Zeitpunkt der Veröffentlichung gab der Autor an, dass die Schwachstelle ungepatcht sei. Mir ist aber der Artikel Microsoft releases new Defender update for Windows 11, 10, Server ISO installations vom 5. April 2026 bei neowin.net aufgefallen, wobei mir unklar ist, ob Microsoft hier bereits auf obigen Sachverhalt reagiert.

BlueHammer missbraucht den Defender

Die Kollegen von Bleeping Computer sind in diesem Artikel grob auf den Sachverhalt eingegangen. Sicherheitsforscher Will Dormann bestätigt in diesem Mastodon-Post, dass der Exploit funktioniert.

BlueHammer

Dormann erklärte gegenüber Bleeping Computer, dass die Schwachstelle eine lokale Rechteausweitung (LPE) ermögliche und do ein TOCTOU (Time-of-Check-to-Time-of-Use) mit einer Pfadverwirrung (path confusion) verwende. Mit diesem Zugriff können Angreifer ihre Berechtigungen auf SYSTEM-Ebene ausweiten und potenziell die vollständige Kontrolle über den Rechner erlangen.

Allerdings sei die Schwachstelle nicht einfach ausnutzbar, verschaffe aber einem lokalen Angreifer Zugriff auf die SAM-Datenbank (Security Account Manager). Diese enthält die Passwort-Hashes für lokale Konten. Bleeping Computer zitiert Sicherheitsforscher, die den Exploit getestet haben. Diese geben an, dass der Code unter Windows Server nicht funktionierte. Der Entwickler des Exploit schreibt, dass der Code noch Fehler enthalte. Aber Will Dormann ist der Meinung, dass das Proof of Concept (PoC) gut genug sei, um das Problem mit der Schwachstelle zu demonstrieren.

Bleeping Computer hat Microsoft um eine Stellungnahme zur BlueHammer-Sicherheitslücke gebeten. Ein Sprecher Microsofts sagte dazu folgendes:

Microsoft hat sich gegenüber seinen Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich zu aktualisieren, um die Kunden zu schützen. Wir unterstützen zudem die koordinierte Offenlegung von Sicherheitslücken, eine in der Branche weit verbreitete Praxis, die dazu beiträgt, dass Probleme vor ihrer Veröffentlichung sorgfältig untersucht und behoben werden, was sowohl dem Schutz der Kunden als auch der Sicherheitsforschungsgemeinschaft zugutekommt.

Ich glaube besser hätte man es nicht ausdrücken können. Denn die obige Stellungnahme besagt genau nichts zum eigentlichen Problem. Mal schauen, ob es die Tage noch neue Erkenntnisse zu BlueHammer gibt. Danke an den Leser  der mich im Diskussionsbereich auf diesen Artikel dazu hingewiesen hatte.

Dieser Beitrag wurde unter Problem, Sicherheit, Virenschutz, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.