3 апреля исследователь безопасности с ником Chaotic Eclipse разместил на GitHub код эксплойта нулевого дня для Windows под названием BlueHammer. Публикация стала реакцией на разногласия с Центром реагирования Microsoft (MSRC), связанного с обработкой предоставленных данных об уязвимости.
- Эксплойт BlueHammer позволяет локальному злоумышленнику повысить привилегии до SYSTEM или администратора.
- Chaotic Eclipse отказался раскрывать технические детали своего метода.
- Microsoft пока не выпустила патч, ограничившись общим заявлением о важности скоординированного раскрытия уязвимостей.
- Эксперт из Tharros подтвердил работоспособность эксплойта и описал его механизм.
- Эксплойт работает нестабильно, особенно на Windows Server.
- Уязвимость требует локального доступа, который злоумышленники могут получить социальным инжинирингом или другими способами.
Причины публикации и реакция Microsoft
Автор BlueHammer выразил недовольство действиями Microsoft Security Response Center, отметив, что компания неадекватно обработала переданную информацию об уязвимости. В качестве условия для сотрудничества Microsoft требовала предоставления видео с демонстрацией атаки, что стало камнем преткновения. Не получив удовлетворительного ответа от MSRC, исследователь решил обнародовать эксплойт публично.
В ответ на публикацию Microsoft ограничилась официальным комментарием, подчеркнув важность скоординированного раскрытия уязвимостей и необходимость обеспечения безопасности пользователей. Однако конкретного патча пока не представлено, что оставляет системы Windows под угрозой.
Технические детали и последствия эксплуатации
Ведущий аналитик Tharros, Уилл Дорманн, подтвердил, что BlueHammer использует сложную уязвимость типа TOCTOU (Time-of-Check to Time-of-Use) и ошибки в обработке путей, чтобы получить доступ к базе данных SAM, где хранятся хеши паролей локальных аккаунтов. Это позволяет атакующему запустить командную оболочку с максимальными правами, что ведет к полной компрометации системы.
Тем не менее, сам Chaotic Eclipse и другие исследователи отмечают, что эксплойт работает нестабильно. На Windows Server он не всегда обеспечивает права SYSTEM, ограничиваясь повышением до уровня администратора с запросом подтверждения. Вероятно, некоторая нестабильность связана с особенностями архитектуры операционной системы и сложностью реализации атаки.
- 3 апреля 2024 — публикация кода BlueHammer на GitHub.
- Chaotic Eclipse отказался раскрывать детали и объяснил решение конфликтом с MSRC.
- Эксперт Tharros подтвердил работоспособность эксплойта.
- Microsoft сделала официальное заявление без выпуска патча.
- Исследователи указывают на нестабильность работы эксплойта на некоторых платформах.