Thomas.will: Die Seite wurde neu angelegt: „=Beschreibung= CVE-2026-33825, bekannt unter dem Namen „BlueHammer", ist eine schwerwiegende Sicherheitslücke in Windows Defender, die alle Standard-Install…“

2026-05-30T09:36:13Z

Die Seite wurde neu angelegt: „=Beschreibung= CVE-2026-33825, bekannt unter dem Namen „BlueHammer", ist eine schwerwiegende Sicherheitslücke in Windows Defender, die alle Standard-Install…“

Neue Seite

=Beschreibung=
CVE-2026-33825, bekannt unter dem Namen „BlueHammer", ist eine schwerwiegende
Sicherheitslücke in Windows Defender, die alle Standard-Installationen von
Windows 10 und Windows 11 betrifft (CVSS 7.8, „hoch").

Die Schwachstelle steckt im Mechanismus, mit dem Windows Defender erkannte
Schadateien unter Quarantäne stellt und bereinigt – der sogenannten
''File Remediation''. Dieser Prozess läuft mit den höchsten Systemprivilegien
(''NT AUTHORITY\SYSTEM''), weil Defender Dateien löschen oder verschieben muss,
die ein normaler Benutzer gar nicht anfassen dürfte.

Genau hier liegt das Problem: Zwischen dem Moment, in dem Defender eine Datei
prüft, und dem Moment, in dem er tatsächlich auf sie zugreift, gibt es ein kurzes
Zeitfenster. Dieses Fenster lässt sich ausnutzen – ein klassischer
''Time-of-Check to Time-of-Use''-Fehler (TOCTOU). Der Angreifer legt zunächst
eine speziell präparierte Datei an, die Defender zur Bereinigung veranlasst.
Während Defender arbeitet, vertauscht er im Hintergrund den Dateipfad durch einen
Verweis auf eine Shadow Copy der Windows-SAM-Datenbank – die Datenbank, in der
Windows Passwort-Hashes speichert. Defender liest die SAM mit SYSTEM-Rechten,
der Angreifer kommt an die Hashes, und aus den Hashes lässt sich eine
SYSTEM-Shell erzeugen.

Das Besondere an BlueHammer: Es werden ausschließlich legitime Windows-Funktionen
missbraucht – Volume Shadow Copy, Opportunistic Locks und die Cloud Files API.
Kein Schadcode im klassischen Sinne, der von Defender oder anderen
Sicherheitslösungen erkannt werden könnte. Der Angreifer braucht lediglich einen
normalen Benutzeraccount auf dem System – kein Administrator, keine besonderen
Rechte.

=Hintergrund=
BlueHammer wurde am 7. April 2026 von einem Forscher unter dem Pseudonym
„Chaotic Eclipse" veröffentlicht – zusammen mit einem funktionierenden
Proof-of-Concept-Exploit. Die Veröffentlichung war kein koordinierter Disclosure-
Prozess, sondern ein bewusster Protest: Der Forscher hatte Microsoft mehrfach
über die Lücke informiert, ohne dass eine Reaktion erfolgte.

Microsoft patchte BlueHammer am 14. April 2026 im Rahmen des regulären
Patch Tuesday. CISA nahm die Lücke am 22. April in den Katalog der aktiv
ausgenutzten Schwachstellen auf und verpflichtete US-Bundesbehörden zur
Behebung bis zum 6. Mai 2026. Noch bevor der Patch erschien, wurde BlueHammer
bereits in echten Angriffen eingesetzt.

=Proof of Concept=
*git clone https://github.com/chaotic-eclipse/bluehammer/
*cd bluehammer/
;prüft ob das System verwundbar ist (Windows, PowerShell als normaler Benutzer)
*python bluehammer_check.py
;führt die Privilege Escalation durch
*python bluehammer.py --shell

=Fix=
Microsoft hat BlueHammer im April 2026 Patch Tuesday behoben. Die gepatchte
Version der Windows Defender Antimalware Platform ist '''4.18.26030.3011'''.

;Aktuelle Defender-Version prüfen (PowerShell)
*Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersion

;Windows Update ausführen
*Einstellungen → Windows Update → Nach Updates suchen

;Über WSUS / Intune
*Defender-Plattform-Updates werden als separate Komponente ausgerollt –
zusätzlich zu regulären Windows-Updates prüfen

Nach dem Update sollte die Plattformversion mindestens '''4.18.26030.3011'''
anzeigen. Systeme, die kein Windows Update erhalten (z. B. dauerhaft offline),
bleiben verwundbar, solange Defender aktiviert ist.

[[Kategorie:Security]]

CVE-2026-33825 - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „=Beschreibung= CVE-2026-33825, bekannt unter dem Namen „BlueHammer", ist eine schwerwiegende Sicherheitslücke in Windows Defender, die alle Standard-Install…“