Wed, 08 Apr 2026
← VoltarUma exploração PoC para uma vulnerabilidade de escalonamento de privilégios locais do Windows não corrigida chamada BlueHammer foi publicada no GitHub. Os pesquisadores corrigiram o exploit para funcionar em versões corrigidas do Windows.
Uma exploração de prova de conceito (PoC) cheia de bugs, mas funcional, para uma vulnerabilidade de escalonamento de privilégios locais do Windows não corrigida, chamada BlueHammer, foi postada no GitHub por alguém que atende pelos nomes Chaotic Eclipse e Nightmare Eclipse. Vários pesquisadores de segurança corrigiram os bugs da exploração e fizeram com que funcionasse em sistemas Windows 10, 11 e Windows Server corrigidos, e a questão agora é se a Microsoft está planejando ou trabalhando em uma correção. A exploração BlueHammer PoC em ação A postagem do caçador de bugs parece implicar que a vulnerabilidade BlueHammer, que atualmente não tem identificador CVE, foi divulgada pela primeira vez à Microsoft, mas problemas não especificados com o processo de divulgação aparentemente os fizeram publicar a exploração. “Existem alguns bugs no PoC que podem impedir seu funcionamento e podem corrigi-los mais tarde”, escreveu Chaotic/Nightmare Eclipse.
O analista de vulnerabilidade Will Dormann confirmou que a exploração publicada funciona “bem o suficiente”, mesmo no Windows Server, embora nessa plataforma não leve a privilégios de SISTEMA, mas “apenas” ao administrador. Rahul Ramesh e Reegun Jayapaul da equipe Howler Cell de Cyderes também resolveram os problemas no código-fonte PoC fornecido e o testaram com sucesso. “O objetivo da cadeia de exploração é simples: forçar o Microsoft Defender a criar uma nova cópia de sombra de volume, pausar o Defender precisamente no momento certo e, em seguida, acessar arquivos sensíveis do registro do registro a partir desse instantâneo antes que o Defender possa limpar”, explicaram. Isso permite que o exploit extraia e descriptografe os hashes de senha NTLM armazenados para contas locais, altere a senha de um administrador local e faça login nessa conta.
A fazenda então usa essa conta para duplicar o token de segurança do Administrador, atribuir a ele níveis de integridade do SYSTEM e usar CreateService para criar um serviço temporário malicioso do Windows, que executará o executável PoC novamente e gerará uma instância cmd.exe executada como NT AUTHORITY \\ SYSTEM na sessão atual do usuário. “Finalmente, para ocultar seus rastros, ele usa SamiChangePasswordUser novamente para restaurar o hash de senha NTLM original que despejou anteriormente, deixando a senha do usuário inalterada de sua perspectiva”, concluíram. O que fazer? Brian Hussey, vice-presidente sênior da equipe Cyber Fusion da Cyderes, observa que o BlueHammer é um lembrete de que os dias zero mais duráveis nem sempre precisam de um bug.
“Este transforma o próprio fluxo de trabalho de atualização do Microsoft Defender em um mecanismo de roubo de credenciais, encadeando cinco recursos legítimos do Windows em uma sequência que seus designers nunca pretenderam”, disse ele ao Help Net Security, e acrescentou que a assinatura do Defender que a Microsoft lançou desde que o exploit foi lançado apenas captura o binário do exploit original. "Uma recompilação básica o derrota, deixando a técnica de dia zero subjacente completamente indetectada. Até que um patch real chegue, as equipes de segurança devem estar procurando as impressões digitais comportamentais: enumeração de cópias de sombra de volume de processos de espaço do usuário, registros inesperados de raiz de sincronização de arquivos em nuvem e contas de baixo privilégio gerando repentinamente serviços do Windows", aconselhou ele. Ramesh e Jayapaul também aconselharam as organizações a ficarem atentas a alterações inesperadas de senha em contas de administradores locais, seguidas por uma restauração rápida, e a imporem o mínimo de privilégios de forma agressiva.
"O BlueHammer requer acesso local para ser executado. A cadeia de ataque começa a partir de um contexto de usuário padrão, portanto, limitar com o que as contas de usuário comprometidas podem interagir - particularmente APIs de arquivos em nuvem e interfaces VSS - reduz significativamente a superfície de ataque", observara m. Atualmente, não há relatos públicos de que o BlueHammer esteja sendo explorado por invasores, mas, como apontaram os pesquisadores, “operadores de ransomware e grupos APT rotineiramente transformam em armas o código PoC LPE público poucos dias após o lançamento”, o que significa que os ataques podem já estar em andamento e ainda estão passando despercebidos. A única boa notícia aqui é que a exploração não pode ser aproveitada por invasores não autenticados, mas invasores engenhosos podem (e muitas vezes conseguem) encontrar uma maneira de superar esse obstáculo roubando credenciais, usando engenharia social e assim por diante.
Entramos em contato com a Microsoft para comentar a situação e atualizaremos este artigo quando tivermos resposta deles. ATUALIZAÇÃO (8 de abril de 2026, 17h15 horário do leste dos EUA): "A Microsoft tem o compromisso do cliente de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes o mais rápido possível. Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática amplamente adotada na indústria que ajuda a garantir que os problemas sejam cuidadosamente investigados e resolvidos antes da divulgação pública, apoiando a proteção do cliente e a comunidade de pesquisa de segurança", disse um porta-voz da Microsoft ao Help Net Security.