Microsoft Defender BlueHammer 권한 상승
요약
CVE-2026-33825는 Microsoft Defender의 로컬 권한 상승 취약점이다. NVD는 이를 로컬에서 권한을 올릴 수 있는 문제로 설명했고, CVSS 3.1 점수는 7.8이다. CISA KEV에는 2026-04-22에 추가됐다.
공개 시점은 자료마다 다르다. Huntress는 BlueHammer 공개 PoC를 2026-04-02로 적었고, NVD의 첫 등록일은 2026-04-14, CERT Santé의 게시일은 2026-04-17이다. Huntress는 2026-04-20 공개 글에서 침해 조사 중 관련 툴링을 확인했다고 밝혔다.
핵심은 Defender의 remediation 경로에서 생기는 파일 경로 레이스다. 공개 자료는 TOCTOU, oplock, junction 재지정, VSS snapshot을 반복해서 가리킨다.
| 항목 | 내용 |
|---|---|
| CVE | CVE-2026-33825 |
| 분류 | CWE-1220, Microsoft Defender 로컬 권한 상승 |
| CVSS | 7.8 / CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 공개 | 2026-04-02 PoC 공개, 2026-04-14 NVD 등록, 2026-04-17 CERT Santé 게시 |
| KEV | 2026-04-22 추가, due date 2026-05-06 |
| 수정 | Microsoft Update Catalog에는 KB4052623 version 4.18.26030.3011이 2026-04-13자로 보이고, CERT Santé는 4.18.26050.3011 이상을 수정본으로 적는다. |
공개 자료의 영향 버전 표기는 서로 다르다. NVD는 Defender antimalware platform 4.18.26030.3011 미만을, CERT Santé는 4.18.26020.6 및 이전을 영향 범위로 적었다.
기술 포인트
BlueHammer의 핵심은 Defender가 SYSTEM 권한으로 처리하는 파일 작업 흐름을 공격자가 레이스로 가로채는 구조다. Huntress는 PoC가 Windows Update API 확인, EICAR 문자열로 remediation 유도, VSS snapshot 생성, oplock 동기화 순서로 좁은 타이밍 창을 잡는다고 설명했다. 이어서 fake cloud sync provider를 등록하고, Defender의 내부 update 경로를 공격자 제어 경로로 돌린 뒤, snapshot-backed SAM 대상으로 바꿔 읽기 핸들을 얻는 흐름을 정리했다.
CERT Santé는 같은 계열을 더 짧게 적었다. oplock batch로 MsMpEng.exe의 파일 작업을 멈추고, NTFS junction으로 대상 경로를 System32 쪽으로 재지정한 뒤, Defender가 SYSTEM 권한으로 그 경로를 따라가게 만든다.
공개 코드와 분석 글에서 확인되는 구체 지점은 파일 경로 혼동, VSS 스냅샷, oplock, junction 또는 mount point 전환, Defender remediation/update 경로다. 무차별 입력 검증 실패보다 이 경로 제어가 실제 primitive에 가깝다.
버전 비교
NVD, CERT Santé, Microsoft Update Catalog의 영향 버전 표기가 서로 다르다. 배포 채널별 실제 설치 빌드를 기준으로 확인해야 한다.
타임라인
| 날짜 | 내용 |
|---|---|
| 2026-04-02 | Huntress 기준 BlueHammer 공개 PoC가 나온 시점이다. |
| 2026-04-13 | Microsoft Update Catalog에 KB4052623 version 4.18.26030.3011이 올라왔다. |
| 2026-04-14 | NVD가 CVE-2026-33825를 등록했다. |
| 2026-04-17 | CERT Santé가 이슈를 게시했다. |
| 2026-04-20 | Huntress가 침해 조사 결과를 공개했다. |
| 2026-04-22 | CISA KEV에 추가됐다. due date는 2026-05-06이다. |
탐지 포인트
네트워크
Huntress는 FortiGate SSL VPN 접근과 연결된 침해를 봤고, agent.exe -server staybud.dpdns[.]org:443 -hide를 터널링 또는 프록시 행위로 봤다. 같은 사건에서 여러 지리권역의 SSL VPN 소스 IP가 관찰됐다.
엔드포인트
Pictures 폴더와 Downloads 하위의 짧은 폴더에서 FunnyApp.exe, RedSun.exe, undef.exe, z.exe가 관찰됐다. Defender 탐지명은 Exploit:Win32/DfndrPEBluHmr.BZ였고, 인접 행위로 whoami /priv, cmdkey /list, net group가 나왔다.
Get-MpComputerStatus |
Select-Object AMProductVersion, AMServiceVersion, AMEngineVersion, RealTimeProtectionEnabled
Get-ChildItem "C:\ProgramData\Microsoft\Windows Defender\Platform" |
Sort-Object Name -Descending |
Select-Object -First 1 Name, FullName
서버
호스트 쪽에서는 MsMpEng.exe의 remediation 동작과 Defender 플랫폼 빌드를 함께 봐야 한다. Microsoft Update Catalog에는 2026-04-13 기준 KB4052623 version 4.18.26030.3011이 보이고, CERT Santé는 4.18.26050.3011 이상을 수정본으로 적는다. 배포 채널별 실제 빌드를 직접 확인하는 쪽이 낫다.
Get-MpComputerStatus |
Select-Object AMProductVersion, AMServiceVersion, AMEngineVersion,
AntivirusSignatureVersion, RealTimeProtectionEnabled
대응 포인트
Defender 플랫폼 빌드를 먼저 맞춘다. 표기 차이가 있으니 한 줄짜리 버전 문자열보다 실제 배포 채널의 플랫폼 빌드로 비교한다.
그다음은 단일 이벤트가 아니라 묶음으로 본다. 사용자 쓰기 가능 경로의 실행, Defender 탐지명, whoami /priv·cmdkey /list·net group, agent.exe 계열 터널링을 같은 시간축에서 묶는다. Huntress 사례도 이 조합으로 이어졌다.
참고 자료
- NVD: CVE-2026-33825
- Huntress: Nightmare-Eclipse Tooling Moves From Public PoC to Real-World Intrusion
- CERT Santé: Microsoft - CVE-2026-33825
- Microsoft Update Catalog: KB4052623
- MSRC Security Update Guide: CVE-2026-33825
- CISA Known Exploited Vulnerabilities Catalog