De Amerikaanse cybersecurityorganisatie CISA bevestigde recent dat ransomwaregroepen actief gebruikmaken van een ernstige privilege-escalatiekwetsbaarheid in Microsoft Defender, bekend onder de naam BlueHammer. Deze kwetsbaarheid, geregistreerd als CVE-2026-33825, werd begin april openbaar gemaakt door een beveiligingsonderzoeker die onder de naam "Nightmare Eclipse" opereert. Hij publiceerde niet alleen details maar ook proof-of-concept code, uit protest tegen de manier waarop Microsoft het meldingsproces beheert.

Volgens Microsoft maakt onvoldoende fijnmazige toegangscontrole in Defender het mogelijk voor een geautoriseerde aanvaller om lokaal privileges te verhogen. Hierdoor kan een aanvaller toegang krijgen tot de Security Account Manager (SAM)-database, waarin wachtwoordhashes van lokale accounts zijn opgeslagen. Met deze toegang kunnen zij escaleren naar SYSTEM-privileges en zo volledige controle over het systeem verkrijgen.

Microsoft bracht op 14 april een patch uit tijdens de Patch Tuesday van die maand, maar kort daarna toonden onderzoekers van Huntress Labs aan dat de kwetsbaarheid al als zero-day werd misbruikt door aanvallers die actief met het toetsenbord aan het werk waren. CISA voegde de BlueHammer-kwetsbaarheid op 22 april toe aan haar Known Exploited Vulnerabilities (KEV) Catalog en gaf federale agentschappen de opdracht om binnen twee weken hun systemen te patchen.

In een recente update heeft CISA deze kwetsbaarheid ook expliciet gemarkeerd als geëxploiteerd in ransomwarecampagnes. Dit is niet de eerste keer dat Microsoft Defender kwetsbaarheden kent die door ransomwaregroepen worden misbruikt; CISA heeft in de afgelopen jaren acht Defender-kwetsbaarheden geregistreerd die actief werden aangevallen, waarvan twee ook door ransomware werden ingezet.