Exploit zero‑day BlueHammer atinge Windows Defender e dá acesso SYSTEM

Um pesquisador que usa o alias Chaotic Eclipse publicou o código de um exploit zero‑day de escalonamento local de privilégios (LPE) apelidado de BlueHammer, que abusa do Windows Defender para elevar um usuário comum a NT AUTHORITY\\SYSTEM. O PoC foi liberado publicamente no GitHub sem correção oficial até agora.

O que está em jogo

Segundo análises públicas e testes independentes, o BlueHammer combina condições de TOCTOU (time‑of‑check to time‑of‑use) com confusão de caminho para acessar o banco de contas locais (SAM). Isso permite coletar hashes NTLM e abrir um shell com privilégios de SYSTEM — ou seja, controle total do endpoint.

Por que o risco é real

Embora seja um ataque local, o “local” normalmente é o último degrau, não o primeiro:

• phishing que instala malware em conta limitada;
• credenciais roubadas (RDP, VPN, VDI);
• exploração de outro bug inicial seguida de lateral movement.

Em ambientes corporativos, um LPE funcional encurta brutalmente o caminho até o domínio.

O pano de fundo da divulgação

Relatos apontam frustração com o fluxo do MSRC (Microsoft Security Response Center), incluindo a exigência de vídeo demonstrando o exploit. A divulgação foi não coordenada e, até o momento, não há CVE nem patch oficial.

Impacto observado

Testes indicam funcionamento em versões modernas do Windows (incluindo builds recentes do Windows 11). O PoC não é 100% estável, mas é “bom o suficiente” para atores mais técnicos refinarem e operacionalizarem.

Mitigações imediatas

• reduzir ao mínimo permissões de usuários locais;
• monitorar processos iniciados com privilégios SYSTEM;
• reforçar EDR e auditoria de eventos no Defender;
• vigiar qualquer atividade de leitura do SAM e dumping de credenciais;
• acompanhar comunicados e atualizações da Microsoft.

Fontes

• CybersecurityNews
• Security Affairs
• BleepingComputer