BlueHammer: Exploit 0-Day no Windows Defender

O CTI do ICS Labs identificou a divulgação do BlueHammer, uma cadeia de exploração sofisticada que abusa de componentes legítimos do Windows, especialmente o fluxo de atualização do Microsoft Defender, para realizar escalação de privilégio até nível SYSTEM e extração de credenciais sensíveis. O ataque combina técnicas de living-off-the-land, manipulação do sistema de arquivos e uso de snapshots do Volume Shadow Copy Service (VSS), tornando sua detecção mais complexa. O exploit foi descoberto e divulgado por um pesquisador de segurança insatisfeito com o trâmite da Microsoft de gerenciamento de vulnerabilidades reportada, não havendo até o momento nenhum patch que corrija as falhas abusadas pela cadeia de exploração.

Cadeia de Execução

O ataque inicia monitorando o Windows Update e aguarda uma atualização legítima do Defender para operar dentro de um contexto confiável. Em seguida, o pacote de atualização é baixado e extraído manualmente, permitindo ao atacante manipular seu conteúdo.

Posteriormente, o exploit força atividade do Defender utilizando uma string EICAR e aciona a criação de um snapshot via VSS, possibilitando acesso a arquivos protegidos. Em paralelo, realiza chamadas ao serviço interno do Defender (MpService) via RPC, redirecionando o processo de atualização para um diretório controlado.

A exploração se concretiza com o uso de junctions NTFS e links simbólicos, induzindo o Defender a acessar arquivos diferentes dos esperados, caracterizando um ataque do tipo confused deputy. Com isso, o arquivo SAM é acessado a partir do snapshot, permitindo a extração de hashes NTLM.

Por fim, os hashes são utilizados em técnicas de Pass-the-Hash para autenticação e movimentação lateral, culminando na execução de código com privilégios SYSTEM.

Impacto

• Escalação de privilégio local para SYSTEM

• Extração de hashes NTLM

• Possibilidade de movimentação lateral

• Comprometimento total do host afetado

• Risco de comprometimento de domínio

Relação com NTLM e Kerberos

Ambientes que utilizam Kerberos não estão automaticamente protegidos contra esse ataque. Embora o Kerberos seja mais seguro, o NTLM frequentemente permanece habilitado como mecanismo de fallback. Isso permite que técnicas como Pass-the-Hash continuem viáveis.

Caso o NTLM esteja ativo, um atacante pode autenticar-se diretamente utilizando hashes NTLM, sem necessidade de obter a senha em texto claro. Mesmo em ambientes com Kerberos predominante, ainda há risco de evolução para ataques como Pass-the-Ticket, caso credenciais mais privilegiadas sejam comprometidas.

IoCs comportamentais

• Criação incomum de snapshots VSS fora de rotinas padrão

• Acesso ao arquivo SAM via caminhos indiretos ou shadow copies

• Criação e manipulação de junctions NTFS e symlinks em diretórios temporários

• Execução de chamadas RPC incomuns ao serviço MpService

• Atividade do Defender fora do padrão durante processos de atualização

• Presença de artefatos de update extraídos manualmente em diretórios temporários

Recomendações para equipes de segurança

As recomendações para mitigação desse tipo de ameaça devem seguir uma abordagem em profundidade, combinando hardening, monitoramento e detecção comportamental. Deve-se reduzir a superfície de ataque por meio da aplicação do princípio do menor privilégio, evitando que usuários ou serviços operem com permissões além do necessário, além de habilitar mecanismos de proteção de credenciais como Credential Guard e proteção do LSASS.

Outro ponto crítico é a redução da dependência do protocolo NTLM. Sempre que possível, seu uso deve ser desabilitado ou fortemente restringido, uma vez que técnicas como Pass-the-Hash dependem diretamente dele para autenticação. Em ambientes onde o NTLM ainda é necessário, é fundamental monitorar e auditar seu uso, identificando autenticações suspeitas ou fora do padrão esperado.

Do ponto de vista de visibilidade, é indispensável implementar monitoramento contínuo de atividades relacionadas ao Volume Shadow Copy Service (VSS), especialmente a criação de snapshots fora de rotinas administrativas conhecidas. O acesso a arquivos sensíveis como SAM, SYSTEM e SECURITY deve ser rigidamente auditado, com geração de alertas para leituras indiretas ou realizadas por processos não confiáveis. Da mesma forma, deve-se monitorar a criação e manipulação de junctions NTFS e links simbólicos, principalmente em diretórios temporários, já que essas estruturas podem ser utilizadas para redirecionamento malicioso de caminhos.

Além disso, chamadas incomuns a serviços internos do sistema, como o MpService do Defender via RPC, devem ser tratadas como potenciais indicadores de comprometimento quando originadas de processos não esperados. A adoção de soluções de EDR ou XDR com capacidade de análise comportamental é fundamental nesse cenário, pois permite identificar a correlação entre eventos aparentemente legítimos, como criação de VSS, manipulação de links simbólicos e acesso a arquivos sensíveis.

Por fim, recomenda-se a implementação de práticas contínuas de threat hunting, buscando identificar padrões associados a esse tipo de ataque, como extração manual de artefatos de atualização, comportamento anômalo do Defender e acessos indiretos ao SAM via shadow copies. A combinação dessas medidas aumenta significativamente a capacidade de prevenção, detecção e resposta diante de ameaças sofisticadas como essa.

Fontes:

• Researcher Releases Windows Defender 0-Day Exploit Granting Full System Access | Cyber Press

• BlueHammer: What the Code Actually Does and Why It Matters | RedPacket Security

• Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit | Bleeping Computer

• BlueHammer | Github