PT-2026-32884 · Microsoft · Defender
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
microsoft defender antimalware platform versões anteriores a 4.18.26030.3011
Description
O Microsoft Defender apresenta uma falha de granularidade insuficiente no controle de acesso, especificamente uma condição de corrida de tempo de verificação para tempo de uso (TOCTOU) no fluxo de trabalho de atualização de assinaturas e remediação. Este problema permite que um invasor local autorizado com baixos privilégios eleve suas permissões para o nível
NT AUTHORITYSYSTEM. O processo de exploração, apelidado de BlueHammer, envolve o encadeamento da API Windows Cloud Files, Travas Oportunistas (Oplocks) e snapshots de Cópia de Sombra de Volume (VSS). Ao pausar o processo do Defender durante uma atualização de assinatura ou varredura, um invasor pode acessar o snapshot VSS montado para ler colmeias de registro bloqueadas, como SAM, SYSTEM e SECURITY, a fim de extrair hashes de administradores locais.Esta falha foi explorada ativamente como um zero-day por grupos de ransomware para desativar a proteção de endpoint e entregar payloads. Incidentes reais vincularam esses ataques a conexões FortiGate SSL VPN comprometidas com endereços IP geolocalizados na Rússia.
Recommendations
Atualize a plataforma Defender para a versão 4.18.26030.3011 ou superior.
Use a Diretiva de Grupo para restringir o Serviço de Cópia de Sombra de Volume apenas a usuários administrativos específicos.
Monitore qualquer processo que chame o
vssvc.exe que não seja uma ferramenta de backup conhecida.
Audite os logs em busca de atividade incomum do CldFlt (Cloud Files Mini Filter) originada de diretórios que não sejam do sistema.Correção
LPE
DoS
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Defender