Windows零時差漏洞BlueHummer涉及內建防毒軟體更新流程

資安公司Cyderes指出，BlueHammer主要與內建防毒Microsoft Defender的更新機制有關，攻擊者搭配磁碟區陰影複製服務（VSS）使用後，就有機會從低權限提升至NT AUTHORITY\SYSTEM。該公司強調，此漏洞無須利用系統核心錯誤、記憶體損毀等缺陷，攻擊者也不需在Microsoft Defender內部執行程式碼。一旦成功利用BlueHammer，攻擊者可讀取安全帳號管理員（Security Account Manager，SAM）資料庫、解開NTLM密碼雜湊值、接管本機管理員帳號，並啟動系統層級的Shell。若是攻擊者進一步還原密碼雜湊資料，還能避免資安系統的偵測。

具體來說，BlueHammer與多個作業系統內建工具與服務有關，包含了Microsoft Defender更新流程、磁碟區陰影複製服務，以及Cloud Files API等，全部都是微軟公開文件揭露的合法Windows功能，而且這些功能皆如預期運作，需透過特定順序串連上述服務，才會形成弱點。

Cyderes提及，微軟後續推送了防毒軟體定義檔更新，將研究員的概念驗證程式（PoC）標示為Exploit:Win32/DfndrPEBluHmr.BB。然而由於弱點與Windows元件的互動有關，攻擊者只要調整弱點實作的方式，就能在繞過Microsoft Defender偵測的情況下利用BlueHammer。

雖然Chaotic Eclipse刻意在概念驗證程式加入臭蟲，不過Cyderes在排除這些問題後，套用最新發布更新的Windows 10與Windows 11電腦進行測試，結果具備低權限的攻擊者只花了不到一分鐘，就成功將權限等級提升至為NT AUTHORITY\SYSTEM。由於BlueHammer迄今未登記CVE編號列管，微軟也尚未提供漏洞修補程式，接下來駭客組織將會很快整合到作案工具，並用於實際攻擊。