BlueHammer– Windows did it again!
Enginsight GmbH

BlueHammer– Windows did it again!

ID: 2249623
(PresseBox) - Ein unbekannter Forscher hat eine Zero Day Lücke gefunden, die es erlaubt seine Rechte zu erweitern und in diesem Kontext eine Shell zu spawnen. Er veröffentlichte sowohl einen Blogbeitrag sowie einen Exploit. Im folgenden wird dieser analysiert und der Angriff erklärt.

Bisher gibt es von Microsoft keinen Patch dazu.

Wie funktioniert der Angriff?

Quelle: https://github.com/Nightmare-Eclipse/BlueHammer

1. RPC-Verbindung zum Windows Defender Dienst

Der Angriff nutzt eine Schwäche im Update-Mechanismus von Windows Defender aus. Windows Defender selbst läuft als hochprivilegierter Dienst und nutzt für Updates eine sogenannte RPC-Schnittstelle (hier c503f532-443a-4c69-8300-ccd1fbdb3839 – weitere Infos unter https://gist.github.com/enigma0x3/2e549345e7f0ac88fad130e2444bb702). Diese Schnittstelle ermöglicht es Programmen, Funktionen in anderen Adressräumen aufzurufen. Der Exploit ruft diese direkt an (ab Z.269) und täuscht dem Defender ein Update vor (RPC_STATUS stat = Proc42_ServerMpUpdateEngineSignature(bindhandle, NULL, args->dirpath, &errstat);(Z.285)). Hierfür werden sogar echte Microsoft Update Dateien aus dem Internet heruntergeladen.

2. TOCTOU-Manipulation – Erstellen eines NT Symbolic Link

Während der Defender Dienst prüft, welche Datei er einlesen soll, entsteht eine zeitliche Lücke bis zum eigentlichen Einlesen. In dieser Zeit tauscht der Exploit das Ziel aus, mittels eines Symbolic Links. Der privilegierte Defender-Prozess liest dann nicht mehr die harmlose Update-Datei, sondern ein vom Angreifer kontrolliertes Ziel. Der Code lädt dabei NtCreateSymbolicLinkObject direkt aus der ntdll.dll zur Laufzeit, anstatt auf normale Windows-APIs zurückzugreifen. Dadurch kann er eine interne, nicht dokumentierte NT-Systemfunktion nutzen, um im Object Manager Namespace symbolische Links auf niedriger Ebene zu erzeugen und so den Pfad gezielt zwischen Prüfung und Nutzung umzubiegen.



Dieses Verfahren nennt man auch Time-of-Check, Time-of-Use (TOCTOU)-Prinzip und bedeutet so viel wie: geprüft wird Objekt A, verwendet wird aber Objekt B. Weitere Infos dazu unter: https://www.heise.de/hintergrund/Secure-Coding-CWE-377-TOCTOU-Race-Conditions-in-den-Griff-bekommen-10081613.html

3. SAM-Zugriff via Offline Registry

Nach dem Austausch des Objektes, wird dieses mit den Defender Rechten (SYSTEM) geöffnet. Darüber gelangt er an die SAM-Datenbank, welche die Benutzerverwaltung von Windows ist. Der Exploit nutzt eine Offline Registry-Bibliothekt (offreg.h), die zum Bearbeiten von Registry-Hives im Offline-Modus (also ohne die laufenden Sicherheitsprüfungen des Systems) genutzt werden kann.

In Kombination mit ntsecapi.h (NT Security API) wird damit direkt in die SAM-Datenbank geschrieben, um Passwörter und Gruppenrechte zu ändern.

Dazu wird DWORD err = OROpenHive(sampath, &hSAMhive);(Z. 2492) verwendet, wobei sampathder Pfad zur Datei SAM-Datei (C:WindowsSystem32configSAM) ist und OROpenHivedie Datei als offline Registry Hive lädt.

4. Zugriff auf die Account Struktur und Passwort Änderung

Nachdem die SAM geladen wurde, navigiert der Code innerhalb der Registry-Struktur. Zuerst wird der Account-Bereich geöffnet (Z.2510) err = OROpenKey(hSAMhive, L"SAM\Domains\Account", &hkey);

Kurz darauf folgt der entscheidende Schritt, bei dem der Zugriff auf alle Benutzer erfolgt (Z.2533) err = OROpenKey(hSAMhive, L"SAM\Domains\Account\Users", &hkey);.

Dieser Pfad ist wichtig, denn hier liegen alle lokalen Benutzerkonten. Jeder Subkey innerhalb dieses Schlüssels entspricht einem Benutzer, identifiziert durch seine RID.

Um alle Nutzer zu verarbeiten, wird im nächten Schritt, die Anzahl der Subkeys ermittelt, mittels (Z. 2541)

DWORD subkeys = NULL; err = ORQueryInfoKey(hkey, NULL, NULL, &subkeys, NULL, NULL, NULL, NULL, NULL, NULL, NULL);

Die eigentliche Suche nach den Accounts erfolgt über eine Schleife, die jeden Subkey durchläuft (Z. 2552)

for (int i = 0; i < subkeys; i++) { DWORD keynamesz = 0x100; wchar_t keyname[0x100] = { 0 }; err = OREnumKey(hkey, i, keyname, &keynamesz, NULL, NULL, NULL);

Dabei liefert OREnumKeyjeweils den Namen eines Subkeys. Für jeden gefundenen Eintrag wird anschließend der jeweilige User Key geöffnet (Z. 2564)

ORHKEY hkey2 = NULL; err = OROpenKey(hkey, keyname, &hkey2);

Dadurch ist es möglich, den sogenannten V-Wert auzulesen und an Usernamen, LM-Hash, NTLM-Hash und weitere Metadaten zu gelangen (Z. 2571).

DWORD valuesz = 0; err = ORGetValue(hkey2, NULL, L"V", NULL, NULL, &valuesz);

Der NTLM Hash (realNTLMHash) wird entschlüsselt und es folgt die Passwortänderung durch die Funktion ChangeUserPasswort. Dabei wird der aktuelle Hash durch den neuen Hash (newNTLM) ersetzt.

5. Spawnen der Shell

Nach erfolgreicher Passwortänderung spawnt der Exploit im nächsten Schritt eine Shell im Kontext des manipulierten Users und nutzt dafür das temporär gesetzte Passwort:

if (!CreateProcessWithLogonW( username, NULL, newpassword_unistr, LOGON_WITH_PROFILE, L"C:\Windows\System32\conhost.exe", NULL, CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT, NULL, NULL, &si, &pi)) { printf(" Shell : Error %dn", GetLastError()); } else { printf(" Shell : OK.n"); }

Mit dem erfolgreichen Spawn der Shell ist die Ausführungskette des Exploits abgeschlossen. Durch die temporäre Manipulation der NTLM-Hashes und die anschließende Anmeldung im Kontext privilegierter Accounts erhält der Angreifer unmittelbaren Zugriff auf eine interaktive Session mit erweiterten Rechte.

Weitere Infos zu dieser Pressemeldung:
https://www.pressebox.de/newsroom/enginsight-gmbh

Unternehmensinformation / Kurzprofil:
drucken  als PDF  Verwaltung Wallet-ready gestalten GWS tritt Forschungsvereinigung Großhandel e. V. bei
Bereitgestellt von Benutzer: PresseBox
Datum: 07.05.2026 - 10:00 Uhr
Sprache: Deutsch
News-ID 2249623
Anzahl Zeichen: 6274

Kontakt-Informationen:
Ansprechpartner: Sabine Kuch
Stadt:

Jena



Kategorie:

Softwareindustrie



Diese Pressemitteilung wurde bisher 215 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"BlueHammer– Windows did it again!"
steht unter der journalistisch-redaktionellen Verantwortung von

Enginsight GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Mitteilungen von Enginsight GmbH
Enginsight auf der PITS 2026 - Integrierte und automatisierte Cybersecurity für die öffentliche Verwaltung ...
Enginsight, deutscher Anbieter einer ganzheitlichen Cybersecurity-Plattform, präsentiert auf der Public IT Security Conference (PITS) vom 16. und 17. Juni 2016 in Berlin, Hotel Adlon, Lösungen für die besonderen Anforderungen von Behörden und kommunalen Einrichtungen. Die PITS gilt als führende

Enginsight auf der ALSO Channel Trends+Visions 2026 - MDR und digitale Souveränität als zentrale Themen für den IT Channel ...
Am 29. Mai 2026 findet die Channel Trends+Visions (CTV) im Confex in Köln statt. Unter dem Motto „Next Generation“ richtet ALSO seine zentrale Hausmesse auf aktuelle Entwicklungen in den Bereichen Cybersecurity, Künstliche Intelligenz (KI) und Internet of Things (IoT) aus. Ziel der Veranstaltu

Enginsight und IONOS: Starkes Signal für digitale Souveränität in Europa ...
IONOS, Europas führender Digitalisierungspartner und zuverlässiger Cloud-Enabler, und der deutsche Spezialist für automatisiertes IT-Monitoring und Cybersicherheit, Enginsight, wollen die kritische Infrastruktur in Deutschland und Europa nachhaltig stärken. Gemeinsam stellen die beiden Unternehm


Weitere Mitteilungen von Enginsight GmbH


Aktuelle Mitteilungen aus der Kategorie: Softwareindustrie
SAP News | SAP S/4HANA, Cloud und KI: GAMBIT Branchendays 2026 zeigen Strategien für SAP-Transformation in allen Branchen ...
Warum geraten Unternehmen in nahezu allen Branchen durch steigende Kosten, regulatorische Anforderungen und volatile Märkte zunehmend unter Druck – und wie können sie mit SAP S/4HANA, SAP-Cloud und künstlicher Intelligenz gegensteuern? Antworten auf diese zentralen Fragen liefert die kostenfrei

Wolters Kluwer bringt sichere digitale Sitzungsverwaltung für Vorstände und Aufsichtsräte nach Deutschland mit Legisway Meetings ...
Wolters Kluwer Legal & Regulatory gibt heute die Einführung von Legisway Meetings in Deutschland bekannt. Legisway Meetings unterstützt Vorstände, Aufsichtsräte und Sekretariate bei der sicheren und strukturierten Vorbereitung, Durchführung und Dokumentation von Sitzungen. Die Lösung ist z

Verwaltung Wallet-ready gestalten ...
Digitale Verwaltung wird erst dann wirklich effizient, wenn digitale Identitäten, Nachweise und Vertrauensinfrastrukturen nahtlos zusammenspielen. Als Mitaussteller am Stand von govdigital informiert Governikus auf dem Zukunftskongress Staat & Verwaltung, wie Kommunen und Behörden digitale Tra

Referenzprüfung in der Schweiz: Wie HR-Teams hinter das Schweizer Arbeitszeugnis schauen ...
'Papier ist geduldig' – dieser Grundsatz gilt im Schweizer Recruitment in besonderem Masse. Das hiesige Arbeitszeugnis ist von Gesetzes wegen wohlwollend zu formulieren, was dazu führt, dass selbst kritische Aussagen oft in einer sehr zurückhaltenden Sprache verpackt sind. Für HR-Vera


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z