Sårbarheter

BlueHammer Windows zero-day utnyttjad sex veckor innan Microsoft visste

4 Lästid / april 9, 2026

BlueHammer Windows Zero-Day Exploited Six Weeks Before Microsoft Knew

En frustrerad säkerhetsforskare har släppt fungerande exploitkod för en opatchad Windows-sårbarhet som låter angripare eskalera från vanliga användarkonton till fullständiga SYSTEM-privilegier. Forskaren, som arbetar under aliaset Chaotic Eclipse, publicerade koden på GitHub efter att Microsoft enligt uppgift avfärdat deras privata sårbarhetsrapport.

Zero-dayn, kallad BlueHammer, utnyttjar Windows Defenders egen uppdateringsprocess för att få tillgång till Security Account Manager-databasen och knäcka administratörslösenord. BleepingComputer bekräftade att exploiten fungerar, även om proof-of-concept innehåller avsiktliga buggar som minskar tillförlitligheten. Säkerhetsforskaren Will Dormann verifierade oberoende att sårbarheten eskalerar en lokal angripare till SYSTEM-privilegier på under en minut.

Microsofts sårbarhetsteam inte vad det en gång var

Det offentliga avslöjandet härrör från vad forskaren beskriver som ett sammanbrott i kommunikationen med Microsofts Security Response Center. Säkerhetsforskaren Will Dormann föreslog på Mastodon att MSRC ”brukade vara utmärkt att arbeta med” men att nedskärningar bara lämnat ”flödesschemaföljarе” i stället för de skickliga säkerhetsproffs som en gång hanterade sårbarhetsrapporter.

Forskaren påstår att Microsoft stängde deras ärende efter att de nekade att skicka in en videodemonstration av exploiten, vilket enligt uppgift blivit ett MSRC-krav. Enligt Cybernews klargjorde Microsoft senare att videodemonstrationer hjälper till att bedöma påverkan men inte är obligatoriska för sårbarhetsinlämningar.

Detta markerar ett mönster av sjunkande kvalitet i Microsofts sårbarhetshantering som förtjänar mer granskning än den får. Forskarens frustration är förståelig, ansvarsfull avslöjande fungerar bara när leverantören svarar ansvarsfullt.

Sårbarheten kedjar fem legitima Windows-funktioner

BlueHammer är inte en traditionell mjukvarubugg. Enligt Cyderes-analytiker kedjar exploiten samman fem legitima Windows-komponenter, Microsoft Defender, Volume Shadow Copy Service, Cloud Files callbacks och opportunistic locks, i en sekvens deras designers aldrig avsåg. Varje del fungerar som designat; sårbarheten uppstår bara när de interagerar med rätt timing.

Under Defenders uppdateringsprocess använder exploiten Cloud Files callbacks och oplocks för att pausa säkerhetsmjukvaran precis i det ögonblick den skapar en Volume Shadow Copy-snapshot. Detta lämnar snapshoten monterad med SAM-, SYSTEM- och SECURITY-registerfiler tillgängliga, filer som normalt är låsta under systemdrift. Angriparen kan sedan dumpa lösenordshashes, knäcka dem offline och använda ett komprometterat administratörskonto för att skapa ett SYSTEM-nivå shell.

Säkerhetstestning av flera forskare bekräftade att exploiten fungerar över Windows-versioner, även om framgångsfrekvensen varierar beroende på systemkonfiguration. På Windows Server-plattformar uppnår exploiten administrativa snarare än SYSTEM-privilegier i vissa fall.

Ransomware-grupper har detta inom några dagar

Som Cyderes noterar, ”ransomware-operatörer och APT-grupper vapeniserar rutinmässigt offentlig LPE PoC-kod inom några dagar efter släppet.” Den offentliga tillgången till fungerande exploitkod innebär att threat actors snabbt kan anpassa den för användning i malware-kampanjer eller post-exploitation-ramverk.

Lokala privilegieeskalerings-sårbarheter är särskilt värdefulla för angripare eftersom de överbryggar klyftan mellan initial kompromiss och meningsfull systemkontroll. En angripare som får tillgång genom phishing eller en webbexploit landar typiskt med begränsade användarprivilegier. BlueHammer kan höja det fotfästet till fullständig systemkontroll.

Microsoft har inte utfärdat någon patch, tilldelat någon CVE eller gett någon tidslinje för en fix. Företagets enda offentliga svar har varit ett generiskt uttalande om att stödja ”koordinerat sårbarhetsavslöjande”, anmärkningsvärd formulering med tanke på att detta avslöjande var allt annat än koordinerat.

Vad Windows-administratörer bör göra

Ingen patch finns tillgänglig. Microsoft har inte erkänt sårbarheten utöver generiska uttalanden till nyhetsmedier. Tills en fix blir tillgänglig är den mest effektiva begränsningen att reglera lokal användaråtkomst där det är möjligt och övervaka för misstänkt processaktivitet.

Exploiten kräver lokal åtkomst för att lyckas, men angripare kombinerar rutinmässigt privilegieeskalerings-sårbarheter med initial åtkomsttekniker som stulna inloggningsuppgifter eller social engineering. Organisationer bör behandla alla lokala kontokompromisser som potentiellt eskalerande till SYSTEM-privilegier tills Microsoft släpper en patch.

Aktivera detaljerad processövervakning på kritiska system och håll utkik efter ovanlig aktivitet kring Windows Defender-uppdateringsprocesser. Exploitens interaktion med Volume Shadow Copy-tjänster kan generera upptäckbara granskningshändelser, även om en bestämd angripare kunde modifiera tekniken för att minska dess forensiska fotavtryck.