El 3 de abril de 2026, el investigador «Chaotic Eclipse» publicó en GitHub un exploit funcional de escalada de privilegios local (LPE) en Windows sin coordinar con Microsoft, sin CVE asignado y sin parche disponible. El equipo Howler Cell lo investigó y confirmó su funcionamiento de extremo a extremo.
¿Qué es BlueHammer?
BlueHammer es un zero-day sin parche que permite a un usuario local con bajos privilegios escalar a NT AUTHORITY\SYSTEM en menos de un minuto, sin exploits del kernel ni corrupción de memoria. El investigador Will Dormann (Tharros) lo confirmó como operativamente relevante.
La vulnerabilidad abusa de la interacción entre tres componentes legítimos de Windows:
- Volume Shadow Copy (VSS): Durante actualizaciones y remediaciones, Defender crea una instantánea temporal que expone los hives del registro SAM, SYSTEM y SECURITY.
- Cloud Files API: Permite al atacante pausar a Defender en el momento exacto mediante callbacks controlados.
- Opportunistic Locks (oplocks): Mantienen a Defender bloqueado mientras la instantánea permanece accesible.
Cada componente funciona según su diseño; la vulnerabilidad surge al encadenarlos en el orden correcto.
¿Cómo funciona el ataque?
- Verifica que haya una actualización de firmas de Defender pendiente (requisito previo).
- Descarga un paquete de actualización legítimo de Microsoft y lo usa para provocar que Defender cree una shadow copy.
- Deposita un archivo EICAR para atraer a Defender y registra una raíz de sincronización Cloud Files con un archivo trampa.
- Cuando Defender accede al archivo trampa, el exploit adquiere un oplock que congela el proceso del antivirus.
- Con Defender paralizado, accede directamente a los hives del registro desde la ruta del dispositivo VSS.
- Extrae la boot key, descifra los hashes NTLM y cambia la contraseña de un administrador local.
- Escala a SYSTEM mediante
CreateService, lanza una shell y restaura la contraseña original para borrar huellas.
Detección y mitigaciones
Microsoft publicó la firma Exploit:Win32/DfndrPEBluHmr.BB, pero esto no es una solución: detecta el binario del PoC original, no la técnica. Recompilar con ligeras modificaciones es suficiente para eludirla.
Los defensores deben aplicar medidas conductuales:
- Monitorizar enumeración de VSS desde procesos de usuario (
NtQueryDirectoryObjectdirigida aHarddiskVolumeShadowCopy*). - Alertar sobre registros de
CfRegisterSyncRootfuera de apps de sincronización conocidas (OneDrive, Dropbox, etc.). - Detectar creación de servicios desde procesos con bajos privilegios.
- Vigilar cambios de contraseña dobles en cuentas de administrador en rápida sucesión (Event ID 4723/4724).
- Aplicar mínimo privilegio para restringir el acceso a las APIs de Cloud Files y VSS.
BlueHammer demuestra que la escalada de privilegios moderna no siempre requiere un bug clásico. Defender puede ser coaccionado para pausarse a sí mismo en el momento exacto, dejando recursos privilegiados sin protección. El exploit está público, sin parche y confirmado. Los actores de ransomware y APT weaponizan este tipo de PoCs en cuestión de días.