安全研究员Chaotic Eclipse在GitHub上公开了一个零日漏洞BlueHammer，引发广泛关注。该漏洞可用于本地权限提升（LPE），据传因微软要求披露者必须提供攻击演示视频，导致该研究员不满而选择直接公开。多家安全公司随后展开调查，公布了更多技术细节。

安全公司Cyderes指出，BlueHammer主要与内置防病毒软件Microsoft Defender的更新机制相关。攻击者结合磁盘卷影复制服务（VSS）后，可从低权限账户提升至NT AUTHORITYSYSTEM权限。该公司强调，该漏洞无需利用系统内核错误或内存损坏等缺陷，攻击者也无需在Microsoft Defender内部执行代码。一旦成功利用BlueHammer，攻击者可读取安全账户管理器（SAM）数据库，破解NTLM密码哈希，接管本地管理员账户，并启动系统级Shell。若进一步还原密码哈希数据，还可规避安全软件的检测。

具体而言，BlueHammer涉及多个操作系统内置工具和服务，包括Microsoft Defender更新流程、卷影复制服务以及Cloud Files API等。这些均为微软公开文档中描述的合法Windows功能，且各自运行正常。漏洞的形成依赖于这些服务按特定顺序串联使用，从而产生安全风险。

Cyderes提到，微软随后推送了防病毒定义更新，将该研究员提供的概念验证程序（PoC）标记为Exploit:Win32/DfndrPEBluHmr.BB。但由于漏洞本质与Windows系统组件的交互有关，攻击者只需调整漏洞利用方式，即可绕过Microsoft Defender的检测。

尽管Chaotic Eclipse在概念验证程序中故意加入了若干错误，Cyderes在修复这些问题后，于安装最新更新的Windows 10和Windows 11系统上进行测试，结果显示，具备低权限的攻击者仅用不到一分钟便成功将权限提升至NT AUTHORITYSYSTEM。由于BlueHammer目前尚未分配CVE编号，微软也尚未发布修复补丁，预计攻击组织将很快将其集成到攻击工具中，并用于实际攻击。