![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Noch ein kurzer Nachtrag zu einem Thema, welches einige Tage liegen geblieben ist. Ein frustrierter Sicherheitsforscher hat bereits zum 3. April 2026 eine 0-day-Schwachstelle samt Exploit ver\u00f6ffentlicht, die Windows und den Defender betrifft. \u00dcber die Schwachstelle k\u00f6nnten Angreifer sich Zugriff auf das System und Systemrechte verschaffen.<\/p>\n
<\/p>\n
Das Thema ist mir bereits am 6. April 2026 \u00fcber nachfolgenden Tweet untergekommen, ich konnte aber nicht reagieren. Dort hie\u00df es nur, dass ein Sicherheitsforscher ziemlich sauer sei, und eine 0-day-Schwachstelle im Windows Defender \u00f6ffentlich gemacht habe.<\/p>\n
![\"BlueHammer](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/BlueHammer.jpg\")
<\/p>\n
Dass da jemand mit dem Alias Chaotic Eclipse echt stinkig ist, kann man aus der zitierten Meldung herauslesen. Es hei\u00dft in der Botschaft, die sich an Microsoft richtet: \"Ich erkl\u00e4re nicht, wie das funktioniert. Ihr Genies k\u00f6nnt das selbst herausfinden.\" So 1+1 zusammen gez\u00e4hlt: Jemand hat eine Schwachstelle an Microsoft gemeldet, dort aber die R\u00fcckmeldung erhalten, dass es keine Schwachstelle sei, die eine Bug-Bounty-Pr\u00e4mie bekomme. Jedenfalls hat die betroffene Person dann diesen Blog-Beitrag<\/a> auf Blog-Spot ver\u00f6ffentlicht. Und er hat auf GitHub einen Exploit<\/a> ver\u00f6ffentlicht. Sp\u00e4ter haben die Kollegen von Bleeping Computer den Sachverhalt in diesem Artikel<\/a> best\u00e4tigt.<\/p>\n Der Exploit zielt auf den internen Mechanismus\u00a0zur Signaturaktualisierung des in Windows enthaltenen Microsoft Defender ab, um eine lokale Rechteausweitung zu erreichen.\u00a0Der PoC stellt eine direkte Verbindung zur internen RPC-Schnittstelle des Defender (IMpService) her und ruft die Methode ServerMpUpdateEngineSignature<\/em> auf. Diese Methode benutzt der Defender intern zur Installation von Engine-Updates.\u00a0Dadurch kann ein Angreifer den Prozess des Defender, der auf SYSTEM-Ebene l\u00e4uft, auf ein von ihm kontrolliertes Verzeichnis verweisen, um Defender Engine-Updates zu holen.<\/p>\n Der Exploit l\u00e4dt das aktuelle Defender-Signatur-Update von der offiziellen URL von Microsoft herunter, analysiert die PE-Datei, um die eingebettete CAB-Datei aus dem Ressourcenbereich zu extrahieren, und entpackt diese im Arbeitsspeicher mithilfe der Windows Cabinet API.<\/p>\n Der PoC missbraucht anschlie\u00dfend NTFS-Symlinks\/Junction-Eintr\u00e4ge \u00fcber undokumentierte NT-APIs (NtCreateSymbolicLinkObject, NtSetInformationFile), um Dateioperationen des Defender im SYSTEM-Kontext auf vom Angreifer kontrollierte Speicherorte umzuleiten. Es gibt eine Race Condition, die \u00fcber Callbacks der Windows Cloud Files API (cfapi) und Volume Shadow Copy-Strukturen gesteuert werden kann.<\/p>\n Au\u00dferdem nutzt der Exploit die Offline-Registrierungsbibliothek von Microsoft (offreg), was auf m\u00f6gliche Manipulationen an den Defender-Konfigurations-Hives au\u00dferhalb des Echtzeitschutzes hindeutet. Am Ende erm\u00f6glicht dies eine Privileg Escalation oder\u00a0 Umgehung von Sicherheitsmechanismen.<\/p>\n Zum Zeitpunkt der Ver\u00f6ffentlichung gab der Autor an, dass die Schwachstelle ungepatcht sei. Mir ist aber der Artikel\u00a0Microsoft releases new Defender update for Windows 11, 10, Server ISO installations<\/a> vom 5. April 2026 bei neowin.net aufgefallen, wobei mir unklar ist, ob Microsoft hier bereits auf obigen Sachverhalt reagiert.<\/p>\n Die Kollegen von Bleeping Computer sind in diesem Artikel<\/a> grob auf den Sachverhalt eingegangen. Sicherheitsforscher Will Dormann best\u00e4tigt in diesem Mastodon-Post<\/a>, dass der Exploit funktioniert.<\/p>\n Dormann erkl\u00e4rte gegen\u00fcber Bleeping Computer, dass die Schwachstelle eine lokale Rechteausweitung (LPE) erm\u00f6gliche und do ein TOCTOU (Time-of-Check-to-Time-of-Use) mit einer Pfadverwirrung (path confusion) verwende. Mit diesem Zugriff k\u00f6nnen Angreifer ihre Berechtigungen auf SYSTEM-Ebene ausweiten und potenziell die vollst\u00e4ndige Kontrolle \u00fcber den Rechner erlangen.<\/p>\n Allerdings sei die Schwachstelle nicht einfach ausnutzbar, verschaffe aber einem lokalen Angreifer Zugriff auf die SAM-Datenbank (Security Account Manager). Diese enth\u00e4lt die Passwort-Hashes f\u00fcr lokale Konten. Bleeping Computer zitiert Sicherheitsforscher, die den Exploit getestet haben. Diese geben an, dass der Code unter Windows Server nicht funktionierte. Der Entwickler des Exploit schreibt, dass der Code noch Fehler enthalte. Aber Will Dormann ist der Meinung, dass das Proof of Concept (PoC) gut genug sei, um das Problem mit der Schwachstelle zu demonstrieren.<\/p>\n Bleeping Computer hat Microsoft um eine Stellungnahme zur BlueHammer-Sicherheitsl\u00fccke gebeten. Ein Sprecher Microsofts sagte dazu folgendes:<\/p>\n Microsoft hat sich gegen\u00fcber seinen Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Ger\u00e4te so schnell wie m\u00f6glich zu aktualisieren, um die Kunden zu sch\u00fctzen. Wir unterst\u00fctzen zudem die koordinierte Offenlegung von Sicherheitsl\u00fccken, eine in der Branche weit verbreitete Praxis, die dazu beitr\u00e4gt, dass Probleme vor ihrer Ver\u00f6ffentlichung sorgf\u00e4ltig untersucht und behoben werden, was sowohl dem Schutz der Kunden als auch der Sicherheitsforschungsgemeinschaft zugutekommt.<\/p><\/blockquote>\n Ich glaube besser h\u00e4tte man es nicht ausdr\u00fccken k\u00f6nnen. Denn die obige Stellungnahme besagt genau nichts zum eigentlichen Problem. Mal schauen, ob es die Tage noch neue Erkenntnisse zu BlueHammer gibt. Danke an den Leser\u00a0 der mich im Diskussionsbereich auf diesen Artikel<\/a> dazu hingewiesen hatte.<\/p>\n","protected":false},"excerpt":{"rendered":" Noch ein kurzer Nachtrag zu einem Thema, welches einige Tage liegen geblieben ist. Ein frustrierter Sicherheitsforscher hat bereits zum 3. April 2026 eine 0-day-Schwachstelle samt Exploit ver\u00f6ffentlicht, die Windows und den Defender betrifft. \u00dcber die Schwachstelle k\u00f6nnten Angreifer sich Zugriff … Weiterlesen Zusammenfassung des PoC aus obigem Tweet<\/h2>\n
BlueHammer missbraucht den Defender<\/h2>\n
![\"BlueHammer](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/BlueHammer1.jpg\")
<\/a><\/p>\n