Categories: AMEAÇAS ATUAIS

Exploit zero‑day BlueHammer atinge Windows Defender e dá acesso SYSTEM

Um pesquisador que usa o alias Chaotic Eclipse publicou o código de um exploit zero‑day de escalonamento local de privilégios (LPE) apelidado de BlueHammer, que abusa do Windows Defender para elevar um usuário comum a NT AUTHORITY\\SYSTEM. O PoC foi liberado publicamente no GitHub sem correção oficial até agora.

O que está em jogo

Segundo análises públicas e testes independentes, o BlueHammer combina condições de TOCTOU (time‑of‑check to time‑of‑use) com confusão de caminho para acessar o banco de contas locais (SAM). Isso permite coletar hashes NTLM e abrir um shell com privilégios de SYSTEM — ou seja, controle total do endpoint.

Por que o risco é real

Embora seja um ataque local, o “local” normalmente é o último degrau, não o primeiro:

  • phishing que instala malware em conta limitada;
  • credenciais roubadas (RDP, VPN, VDI);
  • exploração de outro bug inicial seguida de lateral movement.

Em ambientes corporativos, um LPE funcional encurta brutalmente o caminho até o domínio.

O pano de fundo da divulgação

Relatos apontam frustração com o fluxo do MSRC (Microsoft Security Response Center), incluindo a exigência de vídeo demonstrando o exploit. A divulgação foi não coordenada e, até o momento, não há CVE nem patch oficial.

Impacto observado

Testes indicam funcionamento em versões modernas do Windows (incluindo builds recentes do Windows 11). O PoC não é 100% estável, mas é “bom o suficiente” para atores mais técnicos refinarem e operacionalizarem.

Mitigações imediatas

  • reduzir ao mínimo permissões de usuários locais;
  • monitorar processos iniciados com privilégios SYSTEM;
  • reforçar EDR e auditoria de eventos no Defender;
  • vigiar qualquer atividade de leitura do SAM e dumping de credenciais;
  • acompanhar comunicados e atualizações da Microsoft.

Fontes

CybersecurityNews
Security Affairs
BleepingComputer

TheNinja

Recent Posts

GhostApproval: symlink de 30 anos engana Claude Code, Cursor, Amazon Q e Windsurf para roubar segredos do desenvolvedor

Pesquisa da Wiz mostra que Claude Code, Amazon Q, Cursor, Google Antigravity, Augment e Windsurf…

5 minutos ago

UE lanca plano de ciberseguranca e IA com nove medidas e AI Act com poder de retirar modelos do mercado em 2 de agosto

Bruxelas admite que 70% da nuvem europeia esta em maos estrangeiras e responde com nove…

7 minutos ago

GodDamn ransomware usa driver PoisonX para cegar EDR e ja rodou em 10 hosts antes da detecao

Nova familia GodDamn, rebrand de Beast/Monster, chega com driver kernel PoisonX que silencia EDRs. Symantec…

8 minutos ago

ROMA: framework open-source para agentes recursivos multi-agente ganha 1,75x com GEPA+ e vira novo padrão de arquitetura

ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…

4 horas ago

Google DeepMind Co-Scientist chega à Nature e ao Gemini for Science: caso C2S-Scale valida hipótese oncológica com Yale

Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…

4 horas ago