Microsoft va corregir l’abril de 2026 una vulnerabilitat d’elevació de privilegis a la plataforma antimalware de Microsoft Defender, identificada com a CVE-2026-33825 i batejada pels investigadors com a BlueHammer. L’error té un CVSS de 7.8 i permet que un usuari local sense privilegis acabi executant codi amb permisos de nivell SYSTEM, el màxim a Windows.
El que crida l’atenció del cas és que es va divulgar públicament, amb prova de concepte inclosa, abans que existís el pedaç oficial. Això el converteix en un zero-day en sentit estricte: el codi per explotar-lo era a la vista de qualsevol mentre els equips encara esperaven la correcció.
Què falla exactament
BlueHammer aprofita una condició de cursa del tipus TOCTOU (time-of-check to time-of-use) dins del motor de remediació de Defender. Quan Defender detecta un fitxer maliciós i engega la neteja, fa operacions d’escriptura amb privilegis elevats sense tornar a comprovar la ruta de destinació en el moment exacte d’escriure.
L’atac encadena diverses peces conegudes de Windows. Primer es col·loca un fitxer que dispara la detecció de Defender. Quan la protecció en temps real comença la remediació, l’exploit fa servir un oplock (bloqueig oportunista per lots) per congelar l’operació just al punt crític. Amb Defender en pausa, l’atacant substitueix el directori temporal per un junction point d’NTFS, una mena d’enllaç simbòlic a nivell de directori que reapunta la ruta cap a C:\Windows\System32. Quan Defender reprèn l’operació de restauració, segueix la ruta redirigida i escriu el fitxer amb permisos de SYSTEM. A partir d’aquí, sobreescriure un binari del sistema i aconseguir execució com a SYSTEM és qüestió de temps.
No cal interacció de l’usuari ni privilegis previs. N’hi ha prou de poder executar codi a la màquina com a usuari normal.
A qui afecta i quina gravetat té
El problema arriba a Windows 10 i Windows 11 amb Defender actiu, que és la configuració per defecte a la immensa majoria d’equips. Com a vector d’elevació local no serveix per entrar de zero en un sistema, però sí que és la peça ideal perquè un atacant que ja té un punt de suport escali fins al control total. Aquest patró, entrar amb pocs privilegis i després elevar, és justament el que més es repeteix en intrusions reals.
Mitigació
Microsoft va resoldre l’error mitjançant una actualització de la plataforma antimalware de Defender que es distribueix de manera automàtica a través del mecanisme d’actualització del mateix antivirus. A la pràctica, la majoria d’equips amb Defender al dia ja van rebre la correcció sense cap intervenció manual.
Val la pena confirmar que la plataforma antimalware està actualitzada (Get-MpComputerStatus a PowerShell mostra la versió instal·lada) i que les actualitzacions automàtiques de Defender no estan bloquejades per política. CISA va incloure CVE-2026-33825 al seu catàleg de vulnerabilitats explotades conegudes i va fixar un termini de pedaç per a les agències federals dels Estats Units, un senyal que el risc és real i no pas teòric.