BlueHammer: Escalada de Privilégio Local via Windows Defender

Pesquisadores da Core Security descrevem o exploit BlueHammer visando uma vulnerabilidade zero-day no mecanismo de atualização do Windows Defender para obter escalada de privilégio local. O problema surge porque o serviço de atualização do Defender realiza operações com privilégios de sistema, mas não valida corretamente as permissões de acesso para arquivos temporários e diretórios criados durante o processo de atualização.

A exploração é possível apenas com acesso local e privilégios de usuário padrão: um atacante pode substituir ou injetar um arquivo malicioso em um caminho usado pelo processo de atualização, resultando na execução de código com privilégios NT AUTHORITY\SYSTEM.

📎 Artigo: https://www.coresecurity.com/blog/analysis-bluehammer-lpe-exploiting-windows-defender-updates

💬 Discutir