Недовольный эксперт слил эксплойт BlueHammer для Windows на GitHub
В мире кибербезопасности иногда случаются истории, которые звучат как сюжет триллера. На этот раз главный герой — анонимный исследователь под псевдонимом Chaotic Eclipse (он же Nightmare Eclipse на GitHub). Разочарованный медленной и, по его мнению, формальной реакцией Microsoft Security Response Center (MSRC), он решил не ждать.
3 апреля 2026 года эксперт выложил в открытый доступ полный исходный код рабочего эксплойта под названием BlueHammer. Это не просто PoC для демонстрации — это готовый инструмент, который позволяет обычному локальному пользователю с минимальными правами за считаные секунды получить привилегии NT AUTHORITY\SYSTEM — высший уровень доступа в Windows.
BlueHammer — это классическая local privilege escalation (LPE) уязвимость нулевого дня. Она кроется в процессе обновления сигнатур Windows Defender, а точнее — в том, как система обрабатывает обновления через интерфейс IMpService RPC, в частности метод ServerMpUpdateEngine Signature. Исследователь использовал комбинацию из двух мощных техник: race condition типа Time-of-Check to Time-of-Use (TOCTOU) и манипуляции с путями файлов (path confusion).
Вот как это работает на техническом уровне. Эксплойт «замораживает» процесс обновления Defender с помощью batch oplocks и Cloud Files API, а затем с помощью NTFS junctions и симлинков перенаправляет чтение файлов на Volume Shadow Copy сервиса SAM (Security Account Manager).
В результате атакующий получает доступ к базе данных SAM как SYSTEM — может извлекать хэши паролей, менять их или создавать новые учётные записи с правами администратора. Никаких вредоносных драйверов, никаких подписанных бинарников — только легитимные API Windows, что делает эксплойт особенно коварным и сложным для обнаружения антивирусами.
По словам самого автора, в PoC есть несколько мелких багов, но это не мешает ему работать. Независимый эксперт по безопасности Will Dormann уже протестировал эксплойт и подтвердил: он реально поднимает права с учётной записи ограниченного пользователя до SYSTEM.
Почему это важно? Windows Defender — это базовый защитный слой почти на каждом компьютере с Windows 10 и 11. Уязвимость не требует удалённого доступа: достаточно, чтобы злоумышленник уже имел foothold на машине (например, через фишинг или украденные учётные данные).
После успешного использования BlueHammer атакующий получает полный контроль — может устанавливать malware, красть данные, шифровать диски для выкупа или использовать машину как плацдарм для дальнейших атак в сети. По оценкам, под угрозой могут оказаться сотни миллионов устройств по всему миру.
Microsoft пока не выпустила патч. Уязвимость официально считается zero-day, и компания рекомендует соблюдать стандартные практики: не запускать подозрительный код, использовать многофакторную аутентификацию и держать систему в актуальном состоянии. Однако в ситуации, когда код уже гуляет по форумам и GitHub, время играет против пользователей.
История BlueHammer — это не просто технический инцидент. Она поднимает важный вопрос о том, как крупные вендоры вроде Microsoft обрабатывают отчёты о уязвимостях от независимых исследователей. Когда доверие к процессу disclosure падает, последствия могут быть болезненными для миллионов обычных пользователей.
Пока эксперты разбирают код, а Microsoft готовит обновление, всем владельцам Windows стоит быть особенно бдительными. Ведь в киберпространстве иногда достаточно одной секунды race condition, чтобы потерять контроль над своей машиной.
Ранее мы писали о том, что Люди используют ИИ для общения гораздо реже, чем нам кажется · Москва, 27 июня 2025 года — Новое исследование, проведенное Международным институтом цифровых технологий, показывает, что использование искусственного интеллекта (ИИ) для повседневного общения значительно ниже, чем
