Magnus_Pettersson

Författare

Magnus Pettersson @ Asurgent

Read time

6 min

21 april 2026

Asurgent cybersäkerhetsblogg: När en säkerhetskomponent blir en angreppsyta

Microsoft Defender är för många organisationer ett naturligt grundskydd i Windowsmiljöer: tätt integrerad och stabil över tid, något som "bara fungerar". Under april månad fick vi dock en påminnelse om att även säkerhetskomponenter kan vara en del av attackytan, inte endast en del av försvaret.

Closeup of hands working on computer keyboard

BlueHammer (CVE-2026-33825) är en sårbarhet som tillåter lokal behörighetseskalering genom Microsoft Defender. Den publicerades öppet på GitHub den 2 april 2026, och inom tretton dagar släpptes ytterligare två relaterade zero days mot samma komponent, från samma säkerhetsforskare under aliaset Chaotic Eclipse (GitHub-handle Nightmare-Eclipse):

  • 2 april - BlueHammer. Lokal behörighetseskalering i Microsoft Defender. Lyfter en låg-privilegierad användare till SYSTEM på den drabbade Windows-enheten.
  • 12 april - UnDefend. Ett verktyg som forskaren själv beskriver som tekniskt lågprioriterat, men som i kombination med BlueHammer hindrar Defender från att svara på hot och rapportera vad som händer.
  • 15 april - RedSun. Forskarens "svar" på Microsofts BlueHammer-patchning. Samma komponent, men en ny väg in: patchningen ansågs inte komplett, och med RedSun demonstrerades att området fortfarande var exploaterbart.

Avslöjandesättet, eller disclosure, är mer lik en hotaktörs än en säkerhetsforskares. Proof-of-concept (PoC) publiceras helt öppet utan koordinering med Microsoft, och forskaren uppger sig vara en före detta Microsoft-anställd som agerar i vedergällning för Microsofts hantering av tidigare buggrapporter och nekade bug bounties. Asurgent tar inte ställning i den konflikten, men konsekvensen för försvararen är entydig: tiden mellan disclosure och möjlig användning av exploatering är obefintlig.

Exploateringarna förutsätter att angriparen redan har en form av åtkomst, typiskt som en vanlig användare via stulet token eller phishing-payload. BlueHammer missbrukar Defenders eget RPC-gränssnitt mot WinDefend-tjänsten. Angreppet utnyttjar att tjänsten utför privilegierade operationer på data som en låg-privilegierad användare kontrollerar. RedSun följer samma mönster via en annan kodväg, och UnDefend är inte en eskaleringssårbarhet utan ett verktyg som körs som vanlig användare för att blockera Defenders signaturuppdateringar. Under en pågående plattformsuppdatering kan Defender då tvingas till tillstånd engine unavailable.

Tre sårbarheter från samma individ mot samma komponent på tretton dagar är inte slumpmässigt. Det följer av en designegenskap där Defender måste utföra privilegierade operationer på data som icke-privilegierade användare påverkar, och det är en kombination som historiskt återkommer som attackyta.

CloudOps Security arbetar mot Microsoft Sentinel och Defender XDR i ett stort antal kundtenanter och när BlueHammer-serien släpptes konkretiserades arbetet över tre fronter:

  • Strukturerad rapportering till kund där sårbarheterna togs upp med fokus på att en zero day i en komponent försämrar ett av lagren, inte hela försvaret. Nyansen är värd att kommunicera explicit innan man låter sig styras av nyhetsrubrikerna.
  • Detektionslogik specifik för BlueHammer. Eftersom den publicerade PoC:en använder Volume Shadow Copy Service (VSS)-objekt som mellansteg fokuserar regeln på misstänkt VSS-aktivitet - vilket ger låg false-positive-yta och hög relevans för just den här exploit-familjen. Regeln gjordes omgående tillgänglig för samtliga kunder med CloudOps Security och rullades ut direkt till de kunder som har relevant loggkälla på plats.
  • Sammankoppling mot identitetshändelser. En SYSTEM-eskalering blir desto allvarligare om den följer en avvikande inloggning eller en session från ett konto som nyligen var inblandat i en token-stöld. Korrelationen mellan identitetsaktivitet- och enhetsloggar är där angriparens väg faktiskt blir synlig.

Det här är vardagsarbete för en SOC, men det förutsätter att rätt telemetridata finns på plats och att rätt datakällor är konfigurerade. Det är där en managerad leverans med uppsatt Lighthouse-åtkomst och/eller rätt GDAP-roller gör skillnad i praktiken.

Vad vi tar med oss

Den enskilda sårbarheten är något som går att patcha. Mönstret är ett strukturellt problem som inte gör det. Defender behöver höga rättigheter för att göra sitt jobb, och måste hantera data som icke-privilegierade användare kontrollerar. Säkerhetskomponenter bör behandlas som vilken annan kritisk infrastruktur som helst: med övervakning, patchhygien, principen om minsta nödvändiga behörighet och en medveten beredskap för att skyddet självt kan bli måltavlan. Chaotic Eclipse har offentligt indikerat att fler släpp kommer och vi följer utvecklingen i Microsoft-stacken nära.

Referenser

CVE-2026-33825 (BlueHammer) - Microsoft Defender LPE, åtgärdad i Microsoft Defender Antimalware Platform 4.18.26030.3011, april 2026.
Forskarens publicerade material: deadeclipse666.blogspot.com och github.com/Nightmare-Eclipse

Detta blogginlägg har skrivits med stöd av AI-verktyg.

Security
Säkerhet

Efter BlueHammer: MiniPlasma flyttar attackytan in i patchhanteringen

Läs mer
Azure
azure

Azure-miljöer moderniseras inte automatiskt

Läs mer
Security
Säkerhet

Asurgent cybersäkerhetsblogg: Det osynliga hotet – Hur shadow AI skapar nya attackytor – Del 3: Från risk till kontroll

Läs mer
Security
Säkerhet

Supply chain-attackerna mars 2026: en månad som förändrade hur vi ser på CI/CD-säkerhet

Läs mer

Ta del av de senaste insikterna och nyheterna

Prenumerera på vårt nyhetsbrev för att ha koll på senaste nytt inom cybersäkerhetssfären. 

Prenumerera på vår cybersäkerhetsnyheter

Samtycke(Obligatoriskt)

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Asurgent AB, orgnr. 559062-5538 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.
Bekräfta val Acceptera alla