Cercetător nemulțumit dezvăluie exploit-ul zero-day "BlueHammer" pentru Windows
Exploitul a fost publicat pentru o vulnerabilitate necorectată de escaladare a privilegiilor în Windows, raportată în privat către Microsoft, permițând atacatorilor să câștige permisiuni de sistem sau de administrator înalt. Potrivit bleepingcomputer.com, vulnerabilitatea, denumită BlueHammer, a fost publicată de un cercetător de securitate dezamăgit de modul în care Microsoft a gestionat procesul de divulgare.
👉 Detalii despre vulnerabilitatea BlueHammer și declarația cercetătorului
Vulnerabilitatea este considerată un zero-day conform definiției Microsoft, având în vedere că nu există un patch oficial și nu s-a făcut nicio actualizare pentru a o remedia. Este neclar ce a provocat publicarea codului de exploatat de către cercetător. Într-o postare scurtă sub pseudonimul Chaotic Eclipse, cercetătorul a declarat: "Nu am bluffat Microsoft, și o fac din nou." “Spre deosebire de alte dăți, nu mai explic cum funcționează; geniile de voi pot să descopere singure. De asemenea, mulțumesc enorm conducerii MSRC pentru că a făcut acest lucru posibil,” a adăugat el.
Pe 3 aprilie, Chaotic Eclipse a publicat un depozit GitHub pentru exploatul vulnerabilității BlueHammer sub pseudonimul Nightmare-Eclipse, exprimând neîncrederea și frustrarea față de modul în care Microsoft a decis să abordeze problema de securitate. "Mă întreb cu adevărat care a fost logica din spatele deciziei lor, știind că se va întâmpla asta și totuși au făcut ceea ce au făcut? Chiar sunt serioși?" a spus cercetătorul.
👉 Confirmări și implicații ale exploit-ului BlueHammer
De asemenea, acesta a menționat că codul proof-of-concept (PoC) conține erori care ar putea împiedica funcționarea sa fiabilă. Will Dormann, analist principal de vulnerabilitate la Tharros (fost Analygence), a confirmat pentru BleepingComputer că exploit-ul BlueHammer funcționează, spunând că vulnerabilitatea este o escaladare a privilegiilor locale (LPE) care combină un TOCTOU (verificare a timpului) și confuzie a căii. El a explicat că problema nu este ușor de exploatat și că oferă unui atacator local acces la baza de date a Security Account Manager (SAM), care conține hash-uri de parolă pentru conturile locale. Acest acces permite atacatorilor să escaladeze privilegii la nivel de sistem și să obțină potențial o compromitere completă a mașinii.
“La acel moment, practic controlezi sistemul, și poți face lucruri precum deschiderea unei feronerie cu privilegii de sistem,” a declarat Dormann pentru BleepingComputer. Unii cercetători care au testat exploit-ul au confirmat că codul nu a avut succes pe Windows Server, confirmând astfel afirmația lui Chaotic Eclipse că există erori care pot împiedica funcționarea corectă.
Dormann a adăugat că pe platforma Server, exploit-ul BlueHammer crește permisiunile de la non-admin la administrator înalt, o protecție care necesită autorizarea temporară a utilizatorului pentru o operațiune care necesită acces complet la sistem. Deși motivul din spatele divulgării de către Chaotic Eclipse/Nightmare-Eclipse rămâne incert, Dormann notează că una dintre cerințele MSRC atunci când se înscrie o vulnerabilitate este să ofere un videoclip al exploit-ului. Deși acest lucru poate ajuta Microsoft să evalueze mai ușor vulnerabilitățile raportate, adaugă la efortul de a trimite un raport valid.
În ciuda faptului că BlueHammer necesită de la un atacator local exploatarea, riscul pe care îl implică este în continuare semnificativ, deoarece hackerii pot obține acces local printr-o varietate de vectori, inclusiv inginerie socială, exploatarea altor vulnerabilități software sau prin atacuri bazate pe acreditive. BleepingComputer a contactat Microsoft pentru un comentariu cu privire la vulnerabilitatea BlueHammer, iar un purtător de cuvânt ne-a trimis următoarea declarație: "Microsoft are un angajament față de clienți pentru a investiga problemele de securitate raportate și a actualiza dispozitivele afectate pentru a proteja clienții cât mai curând posibil. De asemenea, susținem divulgarea coordonată a vulnerabilităților, o practică adoptată pe scară largă în industrie care ajută la asigurarea că problemele sunt investigate și abordate cu atenție înainte de divulgarea publică, susținând atât protecția clienților, cât și comunitatea de cercetare în securitate." – a declarat un purtător de cuvânt Microsoft.