BlueHammer — opatchad Windows-sarbarhet ger SYSTEM-rattigheter via Defender
En publicerad zero-day i Windows Defender signaturuppdateringar ger angripare SYSTEM-rattigheter. Ingen patch finns. Sa har skyddar du dina klienter.
Microsoft Defender har en sarbarhet som just nu saknar patch — och exploitkoden ligger oppen pa GitHub.
Den 3 april publicerade en sakerhetsforskare under aliaset Nightmare-Eclipse ett fullt fungerande proof-of-concept for en lokal privilegieeskalering i Windows. Sarbarheten, dopt till BlueHammer, utnyttjar en TOCTOU-racekondition (time-of-check to time-of-use) i Defenders signaturuppdateringsmekanism.
Vad hander tekniskt?
BlueHammer kombinerar flera legitima Windows-funktioner: Volume Shadow Copy Service, Windows Cloud Files API och opportunistic locks. Tillsammans ger de en lagprivilegierad anvandare tillgang till SAM-databasen. Darefter kan angriparen dumpa NTLM-hashar och eskalera till SYSTEM via pass-the-hash.
Med andra ord: en anvandare med vanliga rattigheter pa en Windows-maskin kan ta over hela systemet.
Varfor det ar relevant for svenska SMF
Varje foretag som kor Windows-klienter hanterade via Intune med Microsoft Defender ar potentiellt sarbart. Det kravs lokal atkomst — men i praktiken racker det att en angripare far fotfaste via phishing eller en komprometterad anvandare.
For foretag med delade arbetsstationer eller miljoer dar anvandare har lokala adminrattigheter ar risken hogre.
Vad du bor gora nu
Ingen patch finns annu. Microsoft har inte tilldelat nagon CVE. Men det finns atgarder som minskar risken:
- Aktivera Defender tamper protection — forhindrar manipulation av Defender-installningar
- Sla pa Attack Surface Reduction (ASR)-regler i Intune — begransar vad processer kan gora
- Distribuera LAPS (Local Administrator Password Solution) — om NTLM-hashar lacker sa ar skadan begransad
- Begransna lokala adminrattigheter via Intune endpoint privilege management
- Bevaka MSRC for en eventuell notpatch — den kan komma med Patch Tuesday den 14 april
Vi hjalper dig
Vi erbjuder en snabb genomgang av era endpoint-installningar: Defender tamper protection, ASR-regler, LAPS-status och lokala adminrattigheter. Det tar 1-2 timmar for en Quick Check, eller en halvdag for en fullstandig endpoint-hardeningsbedomning.
Vill du att vi kollar er miljo? Kontakta oss.