BlueHammer: Ungepatchte Zero-Day-Lücke in Windows Defender ermöglicht komplette Systemübernahme

Windows Defender — das auf jedem Windows-System vorinstallierte Antivirenprogramm — steht aktuell im Mittelpunkt einer ernsthaften Sicherheitslücke. Unter dem Namen BlueHammer kursiert seit Anfang April 2026 ein funktionierender Exploit-Code auf GitHub, der auf vollständig aktualisierten Windows-10- und -11-Systemen eine sogenannte Privilege Escalation ermöglicht: Ein Angreifer mit einem einfachen Benutzerkonto kann damit vollständige SYSTEM-Rechte erlangen — die höchste Berechtigungsstufe unter Windows.

Besonders brisant: Es gibt bislang weder einen Patch noch eine offizielle CVE-Kennung. Der vollständige Exploit-Quellcode ist öffentlich zugänglich und wurde bereits von mehreren unabhängigen Sicherheitsforschern erfolgreich nachvollzogen.

Hintergrund: Wie es zur Veröffentlichung kam

Der Exploit wurde von einem Sicherheitsforscher unter dem Alias Chaotic Eclipse veröffentlicht — nach eigener Aussage, weil Microsoft eine zuvor getroffene Vereinbarung gebrochen hat. Am 2. April erschien eine technische Beschreibung auf einem persönlichen Blog, am 3. April folgte der vollständige Quellcode auf GitHub — versehen mit einer direkten Botschaft an Microsofts Security Response Center (MSRC).

Will Dormann, Sicherheitsanalyst bei Tharros, hat den Exploit unabhängig getestet und als funktionsfähig und als reale Bedrohung eingestuft. Das Forschungsteam Howler Cell von Cyderes hat zudem Fehler im ursprünglichen Proof-of-Concept behoben und den Exploit erfolgreich gegen gepatchte Windows-10- und -11-Systeme ausgeführt — mit einer vollständigen Systemübernahme in unter einer Minute.

Wie funktioniert der Angriff technisch?

BlueHammer nutzt keine klassischen Schwachstellen wie Speicherfehler oder Shellcode-Injektionen. Stattdessen verkettet der Exploit fünf reguläre Windows-Komponenten auf eine Weise, die deren eigentlichem Zweck widerspricht:

• Windows Defender — als Auslöser des Angriffs
• Volume Shadow Copy Service (VSS) — zur Erstellung eines temporären System-Snapshots
• Cloud Files API — für die Einrichtung eines gefälschten Synchronisationsanbieters
• Opportunistic Locks (OpLocks) — um Defender gezielt einzufrieren
• Defenders interne RPC-Schnittstelle — als Einstiegspunkt in den Prozess

Wenn Defender ein Signaturen-Update durchführt, erstellt er intern einen temporären Volume-Shadow-Snapshot. Dieser Snapshot enthält normalerweise gesperrte Systemdateien — darunter die SAM-Datenbank mit den lokalen Passwort-Hashes. BlueHammer registriert sich als Cloud-Synchronisationsanbieter, fängt Defenders Dateizugriff ab, setzt einen OpLock und friert den Prozess damit ein. In diesem Moment liest der Exploit die Passwort-Hashes direkt aus dem Snapshot, ändert das Passwort eines lokalen Administratorkontos, übernimmt dessen Sicherheitstoken — und schreibt anschließend den ursprünglichen Hash zurück. Das Konto sieht hinterher völlig unverändert aus.

Eine praktische Einschränkung: Der Exploit benötigt ein ausstehendes Defender-Signaturupdate zum Zeitpunkt der Ausführung. Das macht ihn weniger zuverlässig als ein reiner Knopfdruck-Exploit — aber keineswegs harmlos.

Aktueller Stand: Kein Patch, aber öffentlicher Code

Microsoft hat bisher keine Sicherheitslücke anerkannt und keinen Patch veröffentlicht. Die einzige technische Reaktion war ein Defender-Signaturupdate, das die bekannte kompilierte Beispieldatei aus dem GitHub-Repository erkennt — nicht aber die Angriffstechnik selbst. Jede minimal veränderte Kompilierung des gleichen Codes wird von Defender nicht erkannt.

Das GitHub-Repository verzeichnet bereits über 300 Sterne und mehr als 100 Forks. Erfahrungsgemäß werden öffentliche Privilege-Escalation-Exploits schnell in Toolkits von Ransomware-Gruppen und staatlich gesponserten Angreifern integriert.

Was Sie jetzt tun können

Solange kein Patch verfügbar ist, empfehlen wir folgende Maßnahmen:

• Volume Shadow Copy-Zugriff überwachen: Aufrufe auf Shadow-Copy-Objekte von gewöhnlichen Benutzerprozessen sind ohne legitimen Grund ein klares Warnsignal.
• Cloud-Files-Registrierungen beobachten: Der Windows-API-Aufruf CfRegisterSyncRoot sollte nur von bekannten Anwendungen wie OneDrive oder Dropbox ausgelöst werden — jeder andere Auslöser verdient sofortige Prüfung.
• Dienst-Erstellungen durch niedrigprivilegierte Prozesse alarmieren: BlueHammer registriert während der Eskalation kurz einen eigenen Windows-Dienst — das ist in EDR-Telemetriedaten sichtbar.
• Schnelle Passwortänderungen auf lokalen Administratorkonten beachten: Die Windows-Ereignis-IDs 4723 und 4724, die innerhalb kurzer Zeit zweimal auf demselben Konto auftauchen, sind ohne normalen Betriebsvorgang nicht erklärbar.
• Lokale Berechtigungen konsequent einschränken: BlueHammer setzt eine lokale Benutzersitzung voraus. Jedes Recht, das Standardnutzer nicht benötigen, vergrößert die Angriffsfläche.
• Microsoft-Sicherheitsmitteilungen beobachten: Sobald ein Patch verfügbar ist, sollte er mit höchster Priorität eingespielt werden.

Einordnung für Unternehmen

BlueHammer ist kein theoretisches Sicherheitsproblem — es ist ein bestätigter, öffentlich verfügbarer Exploit gegen eine Komponente, die auf jedem Windows-System aktiv ist. Die Situation ist vergleichbar mit einer offenstehenden Hintertür, zu der der Schlüssel bereits veröffentlicht wurde.

Wer in seinem Unternehmen auf Monitoring, Endpoint Detection und strukturierte Berechtigungskonzepte verzichtet, hat in einem solchen Fall kaum eine Möglichkeit, einen Angriff rechtzeitig zu erkennen. Genau das ist der Unterschied zwischen reaktivem Reagieren und einem proaktiven IT-Sicherheitskonzept.

Wenn Sie unsicher sind, wie gut Ihre IT-Infrastruktur gegen Angriffe dieser Art geschützt ist, sprechen Sie uns an — wir helfen Ihnen, das herauszufinden.

Quellengrundlage: Jolanda de Koff, HackingPassion.com – „BlueHammer: Windows Defender Zero Day" (April 2026). Der Artikel wurde inhaltlich eigenständig aufbereitet und für Unternehmen in Deutschland redaktionell neu verfasst.