BlueHammer ve Windows je spojován s ransomware útoky. CISA varuje před zneužíváním chyby v Microsoft Defender
Americká agentura CISA upozornila, že zranitelnost CVE-2026-33825, známá jako BlueHammer, je evidována jako chyba zneužívaná v ransomware kampaních. Problém v Microsoft Defenderu umožňuje lokálnímu útočníkovi eskalovat oprávnění a může sloužit jako další krok po prvotní kompromitaci systému.

Americká agentura CISA aktualizovala záznam ke zranitelnosti CVE-2026-33825 v katalogu Known Exploited Vulnerabilities (KEV). Chyba známá jako BlueHammer je nově označena jako zranitelnost, která je spojována také s ransomware kampaněmi.
Nejde o vzdálené prolomení systému bez předchozího přístupu. BlueHammer je lokální eskalace oprávnění v Microsoft Defenderu. Útočník tedy nejprve musí získat přístup k zařízení nebo účtu s nižšími oprávněními. Pokud se mu následně podaří chybu zneužít, může získat vyšší oprávnění až na úroveň SYSTEM.
Přístup k citlivým částem systému
Podle dostupných technických analýz může BlueHammer útočníkovi umožnit přístup k databázi Security Account Manager (SAM), ve které Windows ukládá informace související s lokálními účty včetně hashů hesel.
Takový přístup může být pro útočníka zásadní hlavně ve fázi po prvotním průniku. Eskalace oprávnění na SYSTEM mu může umožnit další pohyb v prostředí, sběr přihlašovacích údajů, vypínání bezpečnostních nástrojů nebo přípravu systému na nasazení ransomwaru.
Zveřejněný exploit a následná oprava
BlueHammer byl veřejně popsán začátkem dubna bezpečnostním výzkumníkem vystupujícím pod přezdívkou Nightmare Eclipse. Společně s technickými detaily byl zveřejněn také proof-of-concept exploit.
Microsoft chybu opravil v rámci April 2026 Patch Tuesday, konkrétně 14. dubna 2026. Zranitelnost má podle NVD skóre CVSS 7.8, tedy vysokou závažnost.
Krátce po vydání opravy společnost Huntress popsala reálný incident, ve kterém byly nástroje BlueHammer, RedSun a UnDefend připraveny a spuštěny na napadeném systému. V tomto konkrétním případě podle Huntress exploity neuspěly, incident ale ukázal, že veřejně dostupné PoC nástroje se rychle dostaly do rukou útočníků.
CISA: známé zneužívání i vazba na ransomware
CISA zařadila CVE-2026-33825 do katalogu KEV už 22. dubna 2026 a federálním agenturám v USA stanovila termín nápravy do 6. května 2026.
Aktualizace katalogu nyní uvádí, že zranitelnost je známá i v souvislosti s ransomware kampaněmi. CISA ale veřejně neuvádí konkrétní ransomware skupiny ani detailní popis útoků.
Doporučení pro správce
Organizace by měly ověřit, že mají nasazené aktuální bezpečnostní aktualizace Microsoft Defenderu a že jejich Microsoft Defender Antimalware Platform není ve zranitelné verzi starší než 4.18.26030.3011.
Kromě samotného patchování dává smysl sledovat i podezřelé pokusy o lokální eskalaci oprávnění, neobvyklé procesy běžící jako SYSTEM, přístup k SAM databázi a známky ruční aktivity útočníka po prvotním průniku.