一种名为 BlueHammer 的零日漏洞正影响着 Windows 10 和 11 系统。此漏洞允许任何低权限用户利用 Windows Defender 的一个更新机制,将权限提升至最高的 NT AUTHORITY\SYSTEM 级别。攻击者通过组合五个合法的 Windows 组件来执行攻击,整个过程难以被察觉。目前,该漏洞的完整利用代码已在网上公开,但微软尚未发布任何修复补丁或分配 CVE 编号,仅提供了一个非常有限的检测签名,无法有效阻止变种攻击。
什么是 BlueHammer 漏洞
BlueHammer 是一个存在于 Windows Defender 中的提权漏洞。一名研究员因与微软安全响应中心(MSRC)产生纠纷,公开了该漏洞的完整细节和利用代码。
- 影响范围: 经过测试,该漏洞在完全更新的 Windows 10 和 11 系统上均有效。
- 攻击后果: 普通用户账户可以获得系统的最高控制权。在 Windows Server 上,普通用户也能提升至管理员权限。
- 当前状态: 无补丁、无 CVE,完整的利用代码已在 GitHub 上公开,这意味着任何攻击者都可以获取并使用它。
BlueHammer 并非一个传统的程序错误。它没有利用内存损坏或内核漏洞,而是将五个完全合法的 Windows 组件以一种意想不到的方式串联起来,从而实现攻击。
攻击如何运作
此攻击的巧妙之处在于它利用了正常的系统功能。攻击链依赖于一个前提:在攻击发生时,必须有一个待处理的 Defender 签名更新。
攻击的核心组件包括:
- Windows Defender
- 卷影复制服务 (VSS)
- 云文件 API (Cloud Files API)
- 机会锁 (Opportunistic Locks)
- Defender 的内部 RPC 接口
攻击步骤如下:
- 触发快照: 当 Defender 开始更新病毒定义时,它会创建一个临时的系统快照(卷影副本)。这个快照包含了平时被锁定的敏感文件,例如存储本地账户密码哈希的 SAM 数据库。
- 冻结更新: 攻击程序伪装成一个云同步服务(如 OneDrive)。当 Defender 访问特定文件时,攻击程序会触发一个“机会锁”,导致 Defender 的更新进程被挂起。
- 窃取信息: 在 Defender 更新被冻结的窗口期,系统快照仍然处于挂载状态。攻击程序便可以从快照中直接读取 SAM、SYSTEM 和 SECURITY 注册表文件。
- 提升权限: 攻击程序使用从快照中获取的密钥解密管理员账户的密码哈希,然后将其更改为一个新密码。接着,它使用新密码登录,获取管理员权限,并最终提升至 SYSTEM 级别。
- 清理痕迹: 为了掩盖行踪,攻击程序会将管理员账户的密码哈希恢复为原始值。最终,系统看起来一切正常,没有崩溃,也没有警报。
微软的回应及其局限性
微软对该漏洞的回应非常有限,并且未能解决根本问题。
- 检测签名: 微软发布了一个 Defender 签名
Exploit:Win32/DfndrPEBluHmr.BB。但这并非修复补丁。 - 局限性: 该签名只能检测到从 GitHub 下载的原始样本文件。攻击者只需对代码进行微小修改并重新编译,就可以轻松绕过检测。
- 根本原因未解决: 攻击所利用的底层逻辑漏洞依然存在,系统仍然处于危险之中。
一些分析人士认为,微软安全响应中心僵化的流程(例如强制要求研究员提交视频演示)可能是导致其与研究员关系破裂、进而引发此次公开披露的原因之一。
安全建议
在官方补丁发布之前,系统管理员和安全团队可以采取以下措施来检测和防范此类攻击:
- 监控快照访问: 警惕来自普通用户进程的卷影复制服务(VSS)访问行为,特别是针对
HarddiskVolumeShadowCopy对象的查询。 - 监控云同步注册: 留意除 OneDrive、Dropbox 等已知程序外,任何未知进程调用
CfRegisterSyncRoot的行为。这是 BlueHammer 设置陷阱的关键步骤。 - 监控服务创建: 密切关注低权限进程创建 Windows 服务或获取 SYSTEM 级别令牌的行为。
- 监控密码变更: 注意本地管理员账户在短时间内连续两次更改密码的事件(安全事件 ID 4723 和 4724)。这种行为极不寻常。
- 收紧权限: BlueHammer 需要在本地会话中运行。遵循最小权限原则,移除标准用户账户不必要的权限,可以有效减少攻击面。
- 等待补丁: 持续关注微软的安全公告,一旦补丁发布,应立即将其列为高优先级进行部署。