Специалист по кибербезопасности опубликовал в открытом доступе код эксплойта нулевого дня для операционной системы Windows, который получил название BlueHammer. Причиной столь решительного поступка стал конфликт эксперта с Центром реагирования Microsoft (MSRC) из-за того, как была обработана переданная им информация.
Источник изображения: xAI
Исследователь, известный под псевдонимом Chaotic Eclipse, 3 апреля разместил код эксплойта на площадке GitHub. Автор выразил недовольство тем, как руководство MSRC отнеслось к ранее переданным им сведениям об инциденте, и категорически отказался раскрывать технические детали своего способа обнаружения уязвимости. Данный эксплойт даёт возможность локальному злоумышленнику поднять свои привилегии в системе до уровня SYSTEM или получить расширенные права администратора. При этом Microsoft до сих пор не выпустила патч безопасности, ограничившись стандартным комментарием о важности скоординированного раскрытия уязвимостей.
Ведущий аналитик по безопасности компании Tharros Уилл Дорманн (Will Dormann) подтвердил, что эксплойт действительно работает. Он пояснил, что атака представляет собой локальное повышение привилегий, которое сочетает в себе уязвимость типа «проверка времени до использования» (Time-of-Check to Time-of-Use, TOCTOU) и путаницу с путями. Этот сложный подход позволяет хакеру получить доступ к базе данных Security Account Manager (SAM), где хранятся хеши паролей локальных учётных записей. В итоге становится возможным запустить командную оболочку с максимальными правами и полностью взять под контроль компьютер.
В то же время сам создатель кода Chaotic Eclipse, а также сторонние тестировщики отмечают, что в эксплойте присутствуют ошибки, из-за которых он может работать нестабильно. Например, на платформе Windows Server код не предоставляет полных системных прав, а лишь повышает их до уровня администратора с запросом подтверждения. Дорманн высказал предположение, что раздражение автора могло быть вызвано требованием Microsoft в обязательном порядке прикреплять видео, демонстрирующее взлом.
Хотя для эксплуатации уязвимости требуется изначальный локальный доступ, злоумышленники могут легко получить его заранее с помощью методов социальной инженерии или используя другие бреши в программном обеспечении.
