BlueHammer: Exploit 0‑Day en Windows Defender

El CTI de ICS Labs identificó la divulgación de BlueHammer, una cadena de explotación sofisticada que abusa de componentes legítimos de Windows, especialmente del flujo de actualización de Microsoft Defender, para realizar escalada de privilegios hasta nivel SYSTEM y extracción de credenciales sensibles.El ataque combina técnicas de living-off-the-land, manipulación del sistema de archivos y el uso de snapshots del Volume Shadow Copy Service (VSS), lo que vuelve su detección más compleja.El exploit fue descubierto y divulgado por un investigador de seguridad insatisfecho con el proceso de Microsoft para la gestión de vulnerabilidades reportadas, y hasta el momento no existe ningún parche que corrija las fallas abusadas por la cadena de explotación.

Cadena de Ejecución

El ataque comienza monitoreando Windows Update y espera una actualización legítima de Defender para operar dentro de un contexto confiable. Luego, el paquete de actualización es descargado y extraído manualmente, lo que permite al atacante manipular su contenido.

Posteriormente, el exploit fuerza actividad de Defender utilizando una cadena EICAR y provoca la creación de un snapshot vía VSS, posibilitando el acceso a archivos protegidos. En paralelo, realiza llamadas al servicio interno de Defender (MpService) vía RPC, redirigiendo el proceso de actualización hacia un directorio controlado.

La explotación se concreta mediante el uso de junctions NTFS y enlaces simbólicos, induciendo a Defender a acceder a archivos distintos de los esperados, caracterizando un ataque de tipo confused deputy. Con ello, el archivo SAM es accedido desde el snapshot, permitiendo la extracción de hashes NTLM.

Finalmente, los hashes se utilizan en técnicas de Pass-the-Hash para autenticación y movimiento lateral, culminando en la ejecución de código con privilegios SYSTEM.

Impacto

• Escalada de privilegios local a SYSTEM

• Extracción de hashes NTLM

• Posibilidad de movimiento lateral

• Compromiso total del host afectado

• Riesgo de compromiso del dominio

Relación con NTLM y Kerberos

Los entornos que utilizan Kerberos no están automáticamente protegidos contra este ataque. Aunque Kerberos es más seguro, NTLM suele permanecer habilitado como mecanismo de fallback. Esto permite que técnicas como Pass-the-Hash sigan siendo viables.

Si NTLM está activo, un atacante puede autenticarse directamente utilizando hashes NTLM, sin necesidad de obtener la contraseña en texto claro. Incluso en entornos con predominio de Kerberos, aún existe el riesgo de evolucionar hacia ataques como Pass-the-Ticket, si se comprometen credenciales con mayores privilegios.

IoCs Comportamentales

• Creación inusual de snapshots VSS fuera de rutinas estándar

• Acceso al archivo SAM a través de rutas indirectas o shadow copies

• Creación y manipulación de junctions NTFS y symlinks en directorios temporales

• Ejecución de llamadas RPC inusuales al servicio MpService

• Actividad de Defender fuera del patrón habitual durante procesos de actualización

• Presencia de artefactos de actualización extraídos manualmente en directorios temporales

Recomendaciones para Equipos de Seguridad

Las recomendaciones para mitigar este tipo de amenaza deben seguir un enfoque de defensa en profundidad, combinando hardening, monitoreo y detección comportamental. Se debe reducir la superficie de ataque mediante la aplicación del principio de menor privilegio, evitando que usuarios o servicios operen con permisos superiores a los necesarios, además de habilitar mecanismos de protección de credenciales como Credential Guard y la protección de LSASS.

Otro punto crítico es reducir la dependencia del protocolo NTLM. Siempre que sea posible, su uso debe deshabilitarse o restringirse fuertemente, ya que técnicas como Pass-the-Hash dependen directamente de él para la autenticación. En entornos donde NTLM aún sea necesario, es fundamental monitorear y auditar su uso, identificando autenticaciones sospechosas o fuera del patrón esperado.

Desde el punto de vista de visibilidad, es indispensable implementar monitoreo continuo de actividades relacionadas con VSS, especialmente la creación de snapshots fuera de rutinas administrativas conocidas. El acceso a archivos sensibles como SAM, SYSTEM y SECURITY debe auditarse rigurosamente, generando alertas para lecturas indirectas o realizadas por procesos no confiables. Asimismo, se debe monitorear la creación y manipulación de junctions NTFS y enlaces simbólicos, principalmente en directorios temporales, ya que estas estructuras pueden usarse para redireccionamientos maliciosos de rutas.

Además, las llamadas inusuales a servicios internos del sistema como el MpService de Defender vía RPC deben tratarse como posibles indicadores de compromiso cuando se originan desde procesos no esperados. La adopción de soluciones EDR o XDR con capacidades de análisis comportamental es fundamental en este escenario, ya que permite identificar la correlación entre eventos aparentemente legítimos, como la creación de VSS, la manipulación de enlaces simbólicos y el acceso a archivos sensibles.

Por último, se recomienda implementar prácticas continuas de threat hunting, buscando identificar patrones asociados a este tipo de ataque, como la extracción manual de artefactos de actualización, el comportamiento anómalo de Defender y los accesos indirectos al SAM mediante shadow copies. La combinación de estas medidas incrementa significativamente la capacidad de prevención, detección y respuesta frente a amenazas sofisticadas como esta.

Fuentes:

• Researcher Releases Windows Defender 0-Day Exploit Granting Full System Access | Cyber Press

• BlueHammer: What the Code Actually Does and Why It Matters | RedPacket Security

• Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit | Bleeping Computer

• BlueHammer | Github