CVE-2026-33825

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Beschreibung

CVE-2026-33825, bekannt unter dem Namen „BlueHammer", ist eine schwerwiegende Sicherheitslücke in Windows Defender, die alle Standard-Installationen von Windows 10 und Windows 11 betrifft (CVSS 7.8, „hoch").

Die Schwachstelle steckt im Mechanismus, mit dem Windows Defender erkannte Schadateien unter Quarantäne stellt und bereinigt – der sogenannten File Remediation. Dieser Prozess läuft mit den höchsten Systemprivilegien (NT AUTHORITY\SYSTEM), weil Defender Dateien löschen oder verschieben muss, die ein normaler Benutzer gar nicht anfassen dürfte.

Genau hier liegt das Problem: Zwischen dem Moment, in dem Defender eine Datei prüft, und dem Moment, in dem er tatsächlich auf sie zugreift, gibt es ein kurzes Zeitfenster. Dieses Fenster lässt sich ausnutzen – ein klassischer Time-of-Check to Time-of-Use-Fehler (TOCTOU). Der Angreifer legt zunächst eine speziell präparierte Datei an, die Defender zur Bereinigung veranlasst. Während Defender arbeitet, vertauscht er im Hintergrund den Dateipfad durch einen Verweis auf eine Shadow Copy der Windows-SAM-Datenbank – die Datenbank, in der Windows Passwort-Hashes speichert. Defender liest die SAM mit SYSTEM-Rechten, der Angreifer kommt an die Hashes, und aus den Hashes lässt sich eine SYSTEM-Shell erzeugen.

Das Besondere an BlueHammer: Es werden ausschließlich legitime Windows-Funktionen missbraucht – Volume Shadow Copy, Opportunistic Locks und die Cloud Files API. Kein Schadcode im klassischen Sinne, der von Defender oder anderen Sicherheitslösungen erkannt werden könnte. Der Angreifer braucht lediglich einen normalen Benutzeraccount auf dem System – kein Administrator, keine besonderen Rechte.

Hintergrund

BlueHammer wurde am 7. April 2026 von einem Forscher unter dem Pseudonym „Chaotic Eclipse" veröffentlicht – zusammen mit einem funktionierenden Proof-of-Concept-Exploit. Die Veröffentlichung war kein koordinierter Disclosure- Prozess, sondern ein bewusster Protest: Der Forscher hatte Microsoft mehrfach über die Lücke informiert, ohne dass eine Reaktion erfolgte.

Microsoft patchte BlueHammer am 14. April 2026 im Rahmen des regulären Patch Tuesday. CISA nahm die Lücke am 22. April in den Katalog der aktiv ausgenutzten Schwachstellen auf und verpflichtete US-Bundesbehörden zur Behebung bis zum 6. Mai 2026. Noch bevor der Patch erschien, wurde BlueHammer bereits in echten Angriffen eingesetzt.

Proof of Concept

prüft ob das System verwundbar ist (Windows, PowerShell als normaler Benutzer)
  • python bluehammer_check.py
führt die Privilege Escalation durch
  • python bluehammer.py --shell

Fix

Microsoft hat BlueHammer im April 2026 Patch Tuesday behoben. Die gepatchte Version der Windows Defender Antimalware Platform ist 4.18.26030.3011.

Aktuelle Defender-Version prüfen (PowerShell)
  • Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersion
Windows Update ausführen
  • Einstellungen → Windows Update → Nach Updates suchen
Über WSUS / Intune
  • Defender-Plattform-Updates werden als separate Komponente ausgerollt –
zusätzlich zu regulären Windows-Updates prüfen

Nach dem Update sollte die Plattformversion mindestens 4.18.26030.3011 anzeigen. Systeme, die kein Windows Update erhalten (z. B. dauerhaft offline), bleiben verwundbar, solange Defender aktiviert ist.

Abgerufen von „http://wiki.ixheim.de/index.php?title=CVE-2026-33825&oldid=70425