Un cercetător nemulțumit a divulgat exploitul zero-day „BlueHammer” pentru Windows
Codul exploitului a fost publicat pentru o vulnerabilitate de escaladare a privilegiilor în Windows, care nu a fost reparată de Microsoft, permițând atacatorilor să obțină permisiuni de tip SYSTEM sau administrator elevat. Denumită BlueHammer, vulnerabilitatea a fost publicată de un cercetător care s-a arătat nemulțumit de modul în care Microsoft a gestionat procesul de divulgare, potrivit bleepingcomputer.com.
Într-o postare scurtă sub pseudonimul Chaotic Eclipse, cercetătorul a afirmat: „Nu am mințit Microsoft și o voi face din nou”. „Spre deosebire de alte dăți, nu mai explic cum funcționează; voi, genii, puteți descoperi”, a adăugat el. Pe 3 aprilie, Chaotic Eclipse a publicat un repository GitHub pentru exploit-ul vulnerabilității BlueHammer sub pseudonimul Nightmare-Eclipse, exprimând neîncrederea și frustarea față de modul în care Microsoft a decis să abordeze problema de securitate. „Mă întreb ce a stat la baza deciziei lor, ca și cum știau că se va întâmpla și totuși au făcut ceea ce au făcut? Chiar iau în serios această abordare?”
👉 Detalii tehnice și confirmări privind funcționarea exploitului
Cercetătorul a notat, de asemenea, că codul proof-of-concept (PoC) conține erori care ar putea împiedica funcționarea sa fiabilă. Will Dormann, analist principal de vulnerabilitate la Tharros (fost Analygence), a confirmat pentru BleepingComputer că exploit-ul BlueHammer funcționează, afirmând că vulnerabilitatea este o escaladare locală a privilegiilor (LPE) care combină TOCTOU (timpul de verificare cu timpul de utilizare) și confuzia căii. El a explicat că problema nu este ușor de exploatat și că oferă unui atacator local acces la baza de date a Managerului de Conturi de Securitate (SAM), care conține hash-uri de parole pentru conturile locale.
Având acest acces, atacatorii pot escalada privilegiile la nivel SYSTEM și pot compromite complet mașina. „La acel punct, practic dețin sistemul și pot face lucruri precum deschiderea unui shell cu privilegii SYSTEM”, a declarat Dormann pentru BleepingComputer. Unii cercetători care au testat exploit-ul au confirmat că codul nu a fost de succes pe Windows Server, confirmând afirmația lui Chaotic Eclipse că există erori care pot împiedica funcționarea corectă. Will Dormann a adăugat că pe platforma Server, exploit-ul BlueHammer crește permisiunile de la non-admin la administrator elevat, o protecție care necesită ca utilizatorul să autorizeze temporar o operațiune care necesită acces complet la sistem.
👉 Risc asociat și poziția Microsoft privind vulnerabilitatea
Deși motivul divulgării de către Chaotic Eclipse/Nightmare-Eclipse rămâne incert, Dormann a notat că unul dintre cerințele MSRC atunci când se trimite o vulnerabilitate este de a oferi un videoclip al exploit-ului. Deși acest lucru poate ajuta Microsoft să filtreze mai ușor vulnerabilitățile raportate, adaugă la efortul de a trimite un raport valid. În ciuda faptului că BlueHammer necesită un atacator local pentru a fi exploatat, riscul pe care îl reprezintă rămâne semnificativ, deoarece hackerii pot obține acces local printr-o varietate de vectori, inclusiv inginerie socială, exploit-uri ale altor vulnerabilități software sau prin atacuri bazate pe credențiale.
BleepingComputer a contactat Microsoft pentru un comentariu referitor la vulnerabilitatea BlueHammer, iar un purtător de cuvânt ne-a trimis următorul răspuns: „Microsoft are un angajament față de clienți de a investiga problemele de securitate raportate și de a actualiza dispozitivele afectate pentru a proteja clienții cât mai repede posibil. De asemenea, sprijinim divulgarea coordonată a vulnerabilităților, o practică larg adoptată în industrie, care ajută la asigurarea unei investigații și soluționări atente a problemelor înainte de divulgarea publică, susținând atât protecția clienților, cât și comunitatea de cercetare în domeniul securității.”