Cybersecurity

BlueHammer (CVE-2026-33825): het Microsoft Defender-lek dat nu in ransomware wordt ingezet

CISA heeft BlueHammer (CVE-2026-33825), een privilege-escalatielek in Microsoft Defender, aangemerkt als misbruikt bij ransomware-aanvallen. Dit is wat het lek doet, of je gepatcht bent, en waarom alleen patchen het niet volledig dichtzet.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 8 jul 2026 8 min leestijd
BlueHammer (CVE-2026-33825): het Microsoft Defender-lek dat nu in ransomware wordt ingezet

CISA heeft zijn Known Exploited Vulnerabilities-catalogus bijgewerkt om BlueHammer, geregistreerd als CVE-2026-33825, aan te merken als inmiddels ingezet bij ransomwarecampagnes. Het gaat om een lokaal privilege-escalatielek in Microsoft Defender zelf: een aanvaller die al voet aan de grond heeft op een Windows-machine kan misbruik maken van Defenders eigen file-remediation-logica om zich van een gewone gebruiker op te werken tot SYSTEM. Heeft je Windows-park de patches van april 2026 binnengehaald, dan ben je beschermd tegen deze specifieke bug, maar het verhaal is rommeliger dan één enkele CVE, en de mitigatie is niet simpelweg "patchen en vergeten."

Het ongemakkelijke zit hem in waar het lek huist. BlueHammer maakt van het middel dat het endpoint hoort te beschermen juist het mechanisme dat het endpoint uit handen geeft. Voor verdedigers keert dat een normale aanname om: het antivirusproces dat als SYSTEM draait wordt de ladder waarlangs een aanvaller omhoog klimt, in plaats van datgene wat hem tegenhoudt.

Wat is de BlueHammer-kwetsbaarheid?

BlueHammer is een lokale privilege-escalatiekwetsbaarheid (LPE) in Microsoft Defender Antivirus, toegewezen aan CVE-2026-33825 met een CVSS-score van 7.8. Het is geen remote exploit; een aanvaller moet al code op de machine draaien als gebruiker met lage rechten. Wat het hem oplevert, is de hoofdprijs op één host: controle op SYSTEM-niveau.

Het mechanisme is een time-of-check to time-of-use (TOCTOU) race condition in Defenders remediation-workflow. Zoals de technische analyse van Picus Security het beschrijft, plant de exploit een bestand dat een Defender-detectie triggert, gebruikt een batch opportunistic lock (oplock) om Defender midden in de operatie te bevriezen, en verwisselt vervolgens een NTFS-junction onder het doelpad, zodat wanneer Defender hervat en schrijft met zijn SYSTEM-rechten, die schrijfactie belandt op een plek die de aanvaller heeft gekozen. In de praktijk wordt dat gebruikt om de SAM-registry-hive te bereiken en NTLM-wachtwoordhashes te bemachtigen, wat een pass-the-hash-overname van lokale beheerdersaccounts mogelijk maakt. Geen kernel-exploit, geen geheugencorruptie, alleen Defenders eigen bevoorrechte bestandsafhandeling die tegen zichzelf wordt gekeerd.

De ernst van 7.8 (High) in plaats van critical weerspiegelt dat lokale toegang een voorwaarde is. Maar privilege-escalatie is precies de stap die ransomwarebendes nodig hebben na een initiële phishing of een gestolen credential, en juist daarom weegt CISA's ransomware-markering zwaarder dan de basisscore suggereert.

Waarom dit nu nieuws is

BlueHammer kwam niet binnen via het normale kanaal van gecoördineerde disclosure. Begin april 2026 lekte een onderzoeker die zich "Nightmare Eclipse" noemt het lek samen met werkende proof-of-concept-exploitcode, naar verluidt uit protest tegen de manier waarop het Security Response Center van Microsoft met disclosure omgaat. Daarmee werd het een echte zero-day: er bestond een publieke, wapenklare exploit voordat er een fix was.

Het verloop sindsdien:

Datum (2026)Gebeurtenis
Begin april"Nightmare Eclipse" lekt het lek + PoC-exploitcode publiekelijk
14 aprilMicrosoft brengt de fix uit tijdens Patch Tuesday als CVE-2026-33825
22 aprilCISA voegt CVE-2026-33825 toe aan de Known Exploited Vulnerabilities-catalogus
Begin meiFederale (FCEB) remediation-deadline onder de tweewekenregel van KEV
Eind juniCISA werkt de KEV-vermelding bij om het lek te markeren als ingezet bij ransomware

De update van eind juni is de nieuwe ontwikkeling. CISA heeft CVE-2026-33825 nu in zijn catalogus aangemerkt als "known to be used in ransomware campaigns". Opvallend is dat Microsofts eigen advisory nog steeds geen misbruik in het wild bevestigt en het lek beoordeelt als "Exploitation More Likely" in plaats van "Detected" — er zit dus licht tussen wat CISA operationeel waarneemt en wat de leverancier formeel wil bevestigen. Nog geen specifieke ransomwaregroep is publiekelijk genoemd.

Loop je risico? Hoe je het controleert

BlueHammer treft Microsoft Defender Antivirus op alle ondersteunde Windows-desktop- en serverbuilds — Windows 10, Windows 11, en Windows Server 2016, 2019, 2022 en 2025 — op elk systeem dat het Defender-platform van vóór de update van april 2026 draait. Praktische controles voor een beheerder:

  • Bevestig dat de cumulatieve update van april 2026 (of later) is geïnstalleerd. De Defender-specifieke fix reisde mee met de Patch Tuesday van 14 april. Een park dat bij is met de maandelijkse patches is beschermd tegen specifiek CVE-2026-33825.
  • Controleer de Defender-platformversie, niet alleen de OS-build. Defenders antimalwareplatform en -engine updaten out-of-band ten opzichte van Windows. Get-MpComputerStatus in PowerShell toont AMProductVersion en AMEngineVersion; controleer of die een release van na april 2026 weergeven.
  • Geef prioriteit aan machines waar gebruikers zonder rechten maar lokaal werken. LPE speelt alleen waar een aanvaller al code als gewone gebruiker kan uitvoeren — gedeelde werkstations, RDP/VDI-hosts en developermachines zijn hier de doelwitten met hoge waarde.
  • Kruisverwijs naar de KEV-deadline als je een federale of contractueel gebonden organisatie bent. De BOD 22-01-klok voor dit lek liep al af begin mei; een nu ongepatchte host is zowel een security- als een compliance-probleem.

Kun je de patchstatus over het hele park niet snel bevestigen, dan is dat een gat dat het waard is deze week te dichten. Dezelfde discipline geldt elke maand — onze uiteenzetting over de Patch Tuesday van juni 2026 en de zes zero-days herinnert eraan hoe snel de lijst met in-het-wild-misbruikte lekken ververst.

De adder: BlueHammer patchen dicht niet het hele gat

Hier komt het detail dat de meeste dekking van één enkele CVE overslaat. BlueHammer kwam met broertjes. Beveiligingsonderzoekers documenteerden twee nauw verwante Defender-misbruiktechnieken — RedSun en UnDefend — die in het wild worden gebruikt naast BlueHammer, en die sterven niet allemaal met de aprilpatch.

  • RedSun gebruikt dezelfde familie trucs (Cloud Files API, oplocks, directory-junctions) maar richt zich op een andere service, TieringEngineService.exe, en lokt Defenders realtime-engine met een ingebedde EICAR-teststring om een remediation-cyclus te triggeren die het vervolgens omleidt. Cruciaal is dat van RedSun is gemeld dat het nog altijd werkt op volledig gepatchte Windows 10, 11 en Server 2019+, zelfs na de aprilupdates.
  • UnDefend is helemaal geen privilege-escalatie-exploit. Het degradeert stap voor stap de detectiebetrouwbaarheid van Defender door zich te mengen in het definitie-updatemechanisme — een stille, post-exploitatie-zet om het endpoint te verblinden vóór de volgende fase.

De conclusie: CVE-2026-33825 patchen is noodzakelijk maar niet voldoende. Het onderliggende patroon — misbruik maken van de bestandsoperaties van een security-agent met SYSTEM-rechten via junctions en oplocks — is een klasse van technieken, en die klasse is niet volledig gepatcht. Dat is het argument voor gedragsdetectie bovenop patchen.

Wat je concreet moet doen

Patch eerst, voeg daarna detectie toe voor de techniek in plaats van voor de losse signature. Houd op basis van de gedragsindicatoren die onderzoekers hebben gepubliceerd je EDR/SIEM in de gaten voor:

  • Onverwachte schrijfacties op SYSTEM-niveau naar door gebruikers beschrijfbare mappen, vooral na bestandsoperaties die aan Defender worden toegeschreven.
  • Het aanmaken van NTFS-junctions / directory-reparse-points door non-admin-processen in paden die Defender remedieert.
  • Onderdrukking van Defender-updates of plotselinge terugval in versheid van definities over endpoints heen — een mogelijk spoor van UnDefend.
  • Klassieke pre-escalatie-verkenning zoals whoami /priv vanuit sessies zonder rechten, vlak vóór Defender-gerelateerde activiteit.

Omdat de hele clou van deze lekklasse is dat de aanvaller al een lokaal steunpunt heeft, versterkt dit ook het argument om te beperken wat één gecompromitteerd endpoint kan bereiken. Netwerksegmentatie en identity-first toegangscontroles beperken de blast radius van een SYSTEM-overname — dezelfde logica achter het weggaan van platte netwerken die we behandelden in Zero Trust vs VPN in 2026. En als dit bekend voelt: het is dezelfde vorm als andere lokale-root-bugs uit 2026, zoals het Bad Epoll Linux-kernellek: de perimeter houdt stand, maar de machine waarop de aanvaller code draait is één primitief verwijderd van volledige controle.

Veelgestelde vragen

Wat is CVE-2026-33825 (BlueHammer)?

Het is een lokale privilege-escalatiekwetsbaarheid in Microsoft Defender Antivirus, CVSS 7.8. Door misbruik te maken van een TOCTOU-race in Defenders file-remediation-logica (met oplocks en NTFS-junctions) kan een aanvaller met lage rechten de SYSTEM-schrijfacties van Defender omleiden en zich opwerken tot SYSTEM, om uiteindelijk NTLM-hashes uit de SAM-database te halen.

Wordt BlueHammer misbruikt bij ransomware-aanvallen?

CISA heeft zijn Known Exploited Vulnerabilities-catalogus bijgewerkt om CVE-2026-33825 aan te merken als ingezet bij ransomwarecampagnes. Microsofts advisory heeft misbruik in het wild niet formeel bevestigd en beoordeelt het als "Exploitation More Likely." Geen specifieke ransomwaregroep is publiekelijk genoemd.

Is er een patch voor BlueHammer?

Ja. Microsoft heeft CVE-2026-33825 verholpen in de Patch Tuesday van 14 april 2026. Elk Windows-systeem op het Defender-platform van april 2026 of later is beschermd tegen deze specifieke CVE. Bevestig zowel de cumulatieve OS-update als de versie van het Defender-antimalwareplatform.

Beschermt patchen me volledig tegen deze Defender-aanvallen?

Niet helemaal. Van verwante technieken die naast BlueHammer zijn gedocumenteerd — met name RedSun — is gemeld dat ze nog altijd werken op volledig gepatchte systemen, en UnDefend degradeert Defenders detectie in plaats van rechten te verhogen. Patch, en voeg daarna gedragsdetectie toe voor junction/oplock-misbruik en onverwachte SYSTEM-schrijfacties.

Wie worden getroffen door CVE-2026-33825?

Microsoft Defender Antivirus op Windows 10, Windows 11, en Windows Server 2016, 2019, 2022 en 2025, op elke host die een Defender-platform van vóór april 2026 draait. Omdat het lokale code-uitvoering vereist, zijn gedeelde werkstations, RDP/VDI-hosts en developermachines de doelwitten met de hoogste prioriteit.

Bronnen

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer is ontwikkelaar en automation-builder met meer dan 8 jaar ervaring in het bouwen van productiesystemen die door 100.000+ mensen worden gebruikt. Hij bouwt custom multi-tenant SaaS, AI-automatisering (n8n, LLM-workflows, WhatsApp-bots) en hostinginfrastructuur (WHM/cPanel, CloudLinux) — en is de maker van WaSphere, FlowMaticX en het hostingmerk WaseerHost. 100+ projecten opgeleverd voor mkb, bureaus en gefinancierde startups.

Gerelateerd

Meer in Cybersecurity

Bekijk alles

Discussie · 0

Wees vriendelijk. Reacties zijn openbaar.

    Nieuwsbrief · Maandageditie

    De maandagbriefing.

    Eén e-mail elke maandagochtend. De week vooruit in AI, startups, hosting en devtools — geen onzin, geen gesponsorde lokkertjes.

    Gratis. Met één klik uitschrijven.