3 апреля исследователь безопасности с псевдонимом Chaotic Eclipse опубликовал в открытом доступе код эксплойта нулевого дня для Windows, получивший название BlueHammer, на латформе GitHub. Этот шаг стал результатом конфликта с Центром реагирования Microsoft (MSRC) по поводу обработки информации об уязвимости.
- Эксплойт позволяет локальному злоумышленнику повысить свои привилегии до уровня SYSTEM.
- Microsoft пока не выпустила обновление безопасности.
- Аналитик Will Dormann подтвердил работоспособность эксплойта.
- Эксплойт сочетает уязвимость TOCTOU и путаницу с путями.
- Уязвимость может быть использована для доступа к базе данных Security Account Manager.
Детали эксплуатации уязвимости
По словам Уилла Дорманна, ведущего аналитика компании Tharros, эксплойт BlueHammer использует локальное повышение привилегий, что позволяет хакерам получить доступ к системе, используя базу данных Security Account Manager (SAM), где хранятся хеши паролей. Это открывает возможность запуска командной оболочки с максимальными правами, что сильно компрометирует безопасность компьютера.
Проблемы и нестабильность кода
Несмотря на его потенциальные возможности, сам автор и тестировщики указывают на наличие недоработок в эксплойте, что может повлиять на его стабильность. Например, на Windows Server код не предоставляет полных системных прав, а лишь повышает их до уровня администратора с запросом подтверждения. Дорманн также отметил, что требование Microsoft о предоставлении видеодоказательств взлома могло стать причиной недовольства Chaotic Eclipse.
- 3 апреля — публикация кода эксплойта BlueHammer на GitHub.
- Обострение конфликта между исследователем и Microsoft из-за обработки информации.
- Подтверждение работоспособности эксплойта аналитиком Will Dormann.
- Обсуждение проблем с нестабильностью кода.