漏洞详情
BlueHammer 是一个针对 Windows Defender( MsMpEng.exe )签名更新流程的本地权限提升漏洞。该漏洞的本质是一个 TOCTOU(Time-of-Check to Time-of-Use)竞争条件，结合了路径混淆(Path Confusion)技 术。漏洞并非源自单一组件的缺陷，而是利用了 Windows Defender 更新工作流、卷影副本服务(VSS)、Cloud Files API 以及机会锁(Opportunistic Locks)这几个合法的 Windows 功能之间的交互逻辑。每个组件独立来看均按设计工 作，漏洞仅在以特定顺序和时序将它们串联使用时才会出现。
攻击成功后，低权限本地用户可读取 SAM(Security Account Manager)数据库、解密本地账户的 NTLM 密码哈希、接 管本地管理员账户，并最终获取 NT AUTHORITY\SYSTEM 级别的shell权限，实现完整的系统控制。值得注意的是，该漏 洞利用结束后还会恢复原始密码哈希以规避检测。

漏洞危害
1.权限失控
成功利用可获取 SYSTEM 权限，完全接管主机，可执行任意操作、安装恶意软件、窃取数据或部署挖矿程序。

2.凭据泄露
可读取 SAM 数据库，获取本地账号的 NTLM 密码哈希，用于离线破解或内网横向移动。

3.防御绕过
利用 Windows Defender 自身的高权限完成攻击，可被用作 “提权跳板”，绕过常规防护机制。

影响范围
Windows 10 全版本和 Windows 11全版本 已确认受影响。
启用 Windows Defender 并使用默认签名更新机制的系统均存在风险。

漏洞复现

验证环境：Windows 11 最新版（Build 10.0.26200.8037）
状态：无补丁、默认配置、Defender 启用

排查方法
1.系统日志溯源排查
通过 Windows 安全日志可直接定位漏洞利用的核心攻击痕迹，是最优先执行的排查手段。操作上可通过Win+R输入eventvwr.msc打开事件查看器，依次进入「Windows 日志→安全」分类，筛选事件 ID 4663（对象访问尝试事件），重点核查日志中是否同时满足三个关键特征：对象名称包含\SAM或C:\Windows\System32\config\SAM、进程名称为MsMpEng.exe（Windows Defender 核心引擎）、访问权限为「读取数据 (读取)」且由普通低权限用户触发，一旦出现该类日志，即可判定主机正遭受漏洞利用攻击，也可通过 PowerShell 命令批量筛选日志，提升排查效率。

2.关键权限与配置审计
漏洞利用依赖路径混淆、符号链接等方式绕过权限校验，需针对性核查系统核心配置。重点检查 C:\Windows\System32\config\SAM 文件的安全权限，确保仅 SYSTEM、Administrators 等高权限账户拥有访问权，及时回收普通用户、Everyone 组的异常权限；同时排查系统根目录、临时目录、程序数据目录等低权限可写路径，通过dir /a l命令检查是否存在可疑符号链接，防止攻击者诱导 Defender 访问 SAM 文件，同时确认 Defender 核心服务运行正常，避免恶意程序伪造进程。

修复建议
1.加强行为监控与告警
重点监控符号链接创建、VSS快照异常使用、敏感文件访问（如SAM）及异常认证行为（如密码修改-登录-恢复周期），并在EDR/SIEM中部署针对性检测规则。

2.收紧权限与账户管理
禁用或严格限制非必要本地管理员账户，落实最小权限原则，降低凭据滥用和权限提升风险。

3.强化防护与持续跟进
持续关注 Microsoft Security Response Center 补丁动态，及时测试并部署更新。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。
昆仑漏洞扫描平台专业漏洞检测工具，已更新漏洞检测规则，已支持该漏洞的在线检测。
实战化攻防技能演训平台：模拟真实攻防仿真场景，提升蓝军、红军实战应对能力训练平台。
云瞳云WAF：为中小企业提供一键化接入和专业级防护，有效应对 Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等 Web业务安全防护问题。

参考链接
https://mp.weixin.qq.com/s/Inmfg_GycwuEowB8Rs3bug
https://deepwiki.com/Nightmare-Eclipse/BlueHammer/2-core-exploit-architecture