{"id":38026,"date":"2026-04-15T13:06:43","date_gmt":"2026-04-15T11:06:43","guid":{"rendered":"https:\/\/enginsight.com\/?p=38026"},"modified":"2026-05-05T11:48:50","modified_gmt":"2026-05-05T09:48:50","slug":"bluehammer-critical-vulnerability-windows","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/bluehammer-critical-vulnerability-windows\/","title":{"rendered":"BlueHammer \u2013 Windows did it again!"},"content":{"rendered":"

Ein unbekannter Forscher hat eine Zero Day Lücke gefunden, die es erlaubt seine Rechte zu erweitern und in diesem Kontext eine Shell zu spawnen. Er veröffentlichte sowohl einen Blogbeitrag<\/a> sowie einen Exploit. Betroffen sind alle Windows Systeme mit aktiven Defender. Voraussetzung ist Zugang mit niedrigen Rechten, da es sich um eine Privilege-Escalation-Lücke und nicht um einen Remote-Exploit handelt. Seit dem 14. April 2026 hat Microsoft ein Update veröffentlicht (Plattformversion 4.18.26030.3011), ausrollbar über Windows Update, WSUS oder Endpoint-Management.<\/p>\n\n\n\n

Im folgenden wird der Exploit analysiert und erklärt.<\/p>\n\n\n\n

Wie funktioniert der Angriff?<\/h2>\n\n\n\n

Quelle: https:\/\/github.com\/Nightmare-Eclipse\/BlueHammer<\/a><\/p>\n\n\n\n

1. RPC-Verbindung zum Windows Defender Dienst<\/strong><\/h2>\n\n\n\n

Der Angriff nutzt eine Schwäche im Update-Mechanismus von Windows Defender aus. Windows Defender selbst läuft als hochprivilegierter Dienst und nutzt für Updates eine sogenannte RPC-Schnittstelle (hier c503f532-443a-4c69-8300-ccd1fbdb3839<\/code> – weitere Infos unter https:\/\/gist.github.com\/enigma0x3\/2e549345e7f0ac88fad130e2444bb702<\/a>). Diese Schnittstelle ermöglicht es Programmen, Funktionen in anderen Adressräumen aufzurufen. Der Exploit ruft diese direkt an (ab Z.269) und täuscht dem Defender ein Update vor (RPC_STATUS stat = Proc42_ServerMpUpdateEngineSignature(bindhandle, NULL, args->dirpath, &errstat);<\/code>(Z.285)). Hierfür werden sogar echte Microsoft Update Dateien aus dem Internet heruntergeladen.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Aufbau und Interaktion zur RPC Schnittstelle des Defenders<\/p>\n\n\n\n

2. TOCTOU-Manipulation – Erstellen eines NT Symbolic Link<\/strong><\/strong><\/h2>\n\n\n\n

Während der Defender Dienst prüft, welche Datei er einlesen soll, entsteht eine zeitliche Lücke bis zum eigentlichen Einlesen. In dieser Zeit tauscht der Exploit das Ziel aus, mittels eines Symbolic Links. Der privilegierte Defender-Prozess liest dann nicht mehr die harmlose Update-Datei, sondern ein vom Angreifer kontrolliertes Ziel. Der Code lädt dabei NtCreateSymbolicLinkObject<\/code> direkt aus der ntdll.dll<\/code> zur Laufzeit, anstatt auf normale Windows-APIs zurückzugreifen. Dadurch kann er eine interne, nicht dokumentierte NT-Systemfunktion nutzen, um im Object Manager Namespace symbolische Links auf niedriger Ebene zu erzeugen und so den Pfad gezielt zwischen Prüfung und Nutzung umzubiegen.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Erstellen des NT Symbolic Links<\/p>\n\n\n\n

Dieses Verfahren nennt man auch Time-of-Check, Time-of-Use (TOCTOU)-Prinzip und bedeutet so viel wie: geprüft wird Objekt A, verwendet wird aber Objekt B. Weitere Infos dazu unter: https:\/\/www.heise.de\/hintergrund\/Secure-Coding-CWE-377-TOCTOU-Race-Conditions-in-den-Griff-bekommen-10081613.html<\/a><\/p>\n\n\n\n

3. SAM-Zugriff via Offline Registry<\/strong><\/h2>\n\n\n\n

Nach dem Austausch des Objektes, wird dieses mit den Defender Rechten (SYSTEM) geöffnet. Darüber gelangt er an die SAM-Datenbank, welche die Benutzerverwaltung von Windows ist. Der Exploit nutzt eine Offline Registry-Bibliothekt (offreg.h<\/code>), die zum Bearbeiten von Registry-Hives im Offline-Modus (also ohne die laufenden Sicherheitsprüfungen des Systems) genutzt werden kann.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Laden der Offline Registry-Bibliotheken<\/p>\n\n\n\n

In Kombination mit ntsecapi.h<\/code> (NT Security API) wird damit direkt in die SAM-Datenbank geschrieben, um Passwörter und Gruppenrechte zu ändern.<\/p>\n\n\n\n

Dazu wird DWORD err = OROpenHive(sampath, &hSAMhive);<\/code>(Z. 2492) verwendet, wobei sampath<\/code>der Pfad zur Datei SAM-Datei (C:\\Windows\\System32\\config\\SAM) ist und OROpenHive<\/code>die Datei als offline Registry Hive lädt.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Initialisierung der Passwortmanipulation in DoSpawnShellAsAllUsers<\/code><\/p>\n\n\n\n

4. Zugriff auf die Account Struktur und Passwort Änderung<\/strong><\/h2>\n\n\n\n

Nachdem die SAM geladen wurde, navigiert der Code innerhalb der Registry-Struktur. Zuerst wird der Account-Bereich geöffnet (Z.2510) err = OROpenKey(hSAMhive, L"SAM\\\\Domains\\\\Account", &hkey);<\/code><\/p>\n\n\n\n

Kurz darauf folgt der entscheidende Schritt, bei dem der Zugriff auf alle Benutzer erfolgt (Z.2533) err = OROpenKey(hSAMhive, L"SAM\\\\Domains\\\\Account\\\\Users", &hkey);<\/code>.<\/p>\n\n\n\n

Dieser Pfad ist wichtig, denn hier liegen alle lokalen Benutzerkonten. Jeder Subkey innerhalb dieses Schlüssels entspricht einem Benutzer, identifiziert durch seine RID.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Zugriff auf die SAM-Account-Struktur – Öffnen des Registry-Pfads<\/p>\n\n\n\n

Um alle Nutzer zu verarbeiten, wird im nächten Schritt, die Anzahl der Subkeys ermittelt, mittels (Z. 2541)<\/p>\n\n\n\n

\n
Code<\/div>\n
DWORD<\/span> subkeys =<\/span> NULL<\/span>; \nerr =<\/span> ORQueryInfoKey<\/span>(hkey, NULL<\/span>, NULL<\/span>, &<\/span>subkeys, NULL<\/span>, NULL<\/span>, NULL<\/span>, NULL<\/span>, NULL<\/span>, NULL<\/span>, NULL<\/span>);<\/div>\n<\/div>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Enumeration der Benutzerkonten in der SAM-Hive<\/p>\n\n\n\n

Die eigentliche Suche nach den Accounts erfolgt über eine Schleife, die jeden Subkey durchläuft (Z. 2552)<\/p>\n\n\n\n

\n
Code<\/div>\n
for<\/span> (int<\/span> i =<\/span> 0<\/span>; i <<\/span> subkeys; i++<\/span>) \n{ \n DWORD<\/span> keynamesz =<\/span> 0x100<\/span>; \n wchar_t<\/span> keyname[0x100<\/span>] =<\/span> { 0<\/span> }; \n err =<\/span> OREnumKey<\/span>(hkey, i, keyname, &<\/span>keynamesz, NULL<\/span>, NULL<\/span>, NULL<\/span>);<\/div>\n<\/div>\n\n\n\n

Dabei liefert OREnumKey<\/code>jeweils den Namen eines Subkeys. Für jeden gefundenen Eintrag wird anschließend der jeweilige User Key geöffnet (Z. 2564)<\/p>\n\n\n\n

\n
Code<\/div>\n
ORHKEY<\/span> hkey2 =<\/span> NULL<\/span>;\n err =<\/span> OROpenKey<\/span>(hkey, keyname, &<\/span>hkey2);<\/div>\n<\/div>\n\n\n\n

Dadurch ist es möglich, den sogenannten V-Wert auzulesen und an Usernamen, LM-Hash, NTLM-Hash und weitere Metadaten zu gelangen (Z. 2571).<\/p>\n\n\n\n

\n
Code<\/div>\n
DWORD<\/span> valuesz =<\/span> 0<\/span>;\nerr =<\/span> ORGetValue<\/span>(hkey2, NULL<\/span>, L“V“<\/span>, NULL<\/span>, NULL<\/span>, &<\/span>valuesz);<\/div>\n<\/div>\n\n\n\n

Der NTLM Hash (realNTLMHash<\/code>) wird entschlüsselt und es folgt die Passwortänderung durch die Funktion ChangeUserPasswort<\/code>. Dabei wird der aktuelle Hash durch den neuen Hash (newNTLM<\/code>) ersetzt.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Passwortänderung durch Überschreiben des Hashes<\/p>\n\n\n\n

5. Spawnen der Shell<\/strong><\/h2>\n\n\n\n

Nach erfolgreicher Passwortänderung spawnt der Exploit im nächsten Schritt eine Shell im Kontext des manipulierten Users und nutzt dafür das temporär gesetzte Passwort:
<\/p>\n\n\n\n

\n
Code<\/div>\n
if<\/span> (!<\/span>CreateProcessWithLogonW<\/span>(\n username,\n NULL<\/span>,\n newpassword_unistr,\n LOGON_WITH_PROFILE,\n L“C:\\\\Windows\\\\System32\\\\conhost.exe“<\/span>,\n NULL<\/span>,\n CREATE_NEW_CONSOLE |<\/span> CREATE_UNICODE_ENVIRONMENT,\n NULL<\/span>,\n NULL<\/span>,\n &<\/span>si,\n &<\/span>pi))\n{\n printf<\/span>(“ Shell : Error %d\\n“<\/span>, GetLastError<\/span>());\n}\nelse<\/span> {\n printf<\/span>(“ Shell : OK.\\n“<\/span>);\n}<\/div>\n<\/div>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Spawnen der Shell<\/p>\n\n\n\n

Mit dem erfolgreichen Spawn der Shell ist die Ausführungskette des Exploits abgeschlossen. Durch die temporäre Manipulation der NTLM-Hashes und die anschließende Anmeldung im Kontext privilegierter Accounts erhält der Angreifer unmittelbaren Zugriff auf eine interaktive Session mit erweiterten Rechte.<\/p>\n\n\n\n

6. Handlungsempfehlung <\/h2>\n\n\n\n

Lokale Zugänge einschränken. BlueHammer setzt lokalen Code-Execution-Zugang voraus. Jede Maßnahme, die den initialen Zugang erschwert, reduziert direkt die Angriffsfläche. Erkennungen von Bruteforce Angriffe auf RDP Verbindungen sind über das Enginsight IDS erkennbar und können automatisch geblockt werden. <\/p>\n\n\n\n

BlueHammer ändert das Passwort des gefundenen Administrator-Accounts gezielt auf $PWNed666!!!WDFAIL. Im SIEM sollte daher überprüft werden, ob es in der vergangenen Wochen zu Passwortänderungen kam. Möglich ist das durch die DataLake Suche: winlog.System.EventID:in("4724", "4728", "4661")"<\/code><\/p>\n","protected":false},"excerpt":{"rendered":"

Ein unbekannter Forscher hat eine Zero Day Lücke gefunden, die es erlaubt seine Rechte zu erweitern und in diesem Kontext eine Shell zu spawnen. Er veröffentlichte sowohl einen Blogbeitrag sowie einen Exploit. Betroffen sind alle Windows Systeme mit aktiven Defender. Voraussetzung ist Zugang mit niedrigen Rechten, da es sich um eine Privilege-Escalation-Lücke und nicht um […]<\/p>\n","protected":false},"author":36,"featured_media":38027,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_eb_attr":"","footnotes":""},"categories":[334],"tags":[],"class_list":["post-38026","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-schwachstellen"],"_links":{"self":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/38026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/users\/36"}],"replies":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/comments?post=38026"}],"version-history":[{"count":10,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/38026\/revisions"}],"predecessor-version":[{"id":38147,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/38026\/revisions\/38147"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media\/38027"}],"wp:attachment":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media?parent=38026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/categories?post=38026"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/tags?post=38026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}