文章总结： 安全研究人员chaoticeclipse公开WindowsDefender零日提权漏洞Bluehammer的PoC，该漏洞需攻击者具备本地访问权限且Defender处于活动状态，可提升至SYSTEM权限，影响Windows10/11及Server版本。建议通过监控EDR、限制本地权限、启用增强日志记录、避免RDP端口暴露及关注官方更新缓解风险。 综合评分： 89 文章分类： 漏洞预警,漏洞分析,应急响应,终端安全

Windows Defender 0day 提权漏洞 【预警】

原创

JunYi JunYi

毅心安全

2026年4月9日 00:01 广东

在小说阅读器读本章

去阅读

Windows Defender 0day 提权漏洞 【预警】

一位化名为 Chaotic Eclipse (@ChaoticEclipse0) 的安全研究人员公开发布了一个名为 BlueHammer 的 Windows 0 day本地权限提升 (LPE) 漏洞利用程序，并在 GitHub 上提供了完整的概念验证 (PoC) 源代码。

该漏洞中文命名为 “蓝锤漏洞”

BlueHammer 是一个 Windows 零日 LPE 漏洞利用程序 ，它允许低权限的本地用户将其访问权限提升到 NT AUTHORITY\SYSTEM，这是 Windows 计算机上的最高权限级别。

研究人员发布的一份详细分析报告显示，Windows Defender 被利用来提升权限。

披露信息中分享的屏幕截图生动地展示了其影响：从 C:\Users\limited\Downloads> （显然是一个受限用户帐户）启动的命令提示符在几秒钟内获得了完整的 SYSTEM shell， whoami 确认了 nt authority\system 。

二、利用条件

这个漏洞并不是远程发个链接就能黑掉电脑，它有几个前提：

1. 本地访问权： 攻击者必须已经进入了系统。无论是通过 Web 漏洞拿到的 Shell，还是通过 RDP 远程登录，或者是坐在电脑前的临时访客。
2. Defender 处于活动状态： 毕竟是利用 Defender 提权，如果杀毒软件被彻底禁用，这个特定路径就走不通了。
3. 运行 PoC 代码： 需要在命令行执行那个被公开的 BlueHammer 程序。

#

三、 影响版本

根据目前安全研究员披露的信息，这个漏洞的杀伤范围非常广：

| 操作系统 | 受影响情况 | 备注 | | — | — | — | | Windows 11 | 高危 | 已证实包括最新的 24H2/23H2 等预览版和正式版。 | | Windows 10 | 高危 | 架构相似，基本确定同样受影响。 | | Windows Server | 中高危 | 只要安装并启用了默认的 Defender 方案，理论上都有风险。 |

缓解措施

在微软发布官方补丁或缓解措施建议之前，安全团队应采取以下预防措施：

1、监控端点检测和响应 (EDR) 工具，以发现异常的权限提升活动。 2、将本地用户权限限制在操作所需的最低限度。 3、在 Windows 系统上应用增强型日志记录，以检测异常的系统级进程生成。 4、非必要不将windows RDP等远程控制端口暴露在外网。 5、请留意微软发布的有关 BlueHammer 漏洞的安全更新或公告。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：毅心安全 JunYi JunYi《Windows Defender 0day 提权漏洞 【预警】》