Код эксплойта для неисправленной уязвимости повышения привилегий в Windows был опубликован исследователем под псевдонимом Chaotic Eclipse. Уязвимость, получившая название BlueHammer, была ранее сообщена Microsoft в частном порядке, но осталась без официального патча, что делает её уязвимостью нулевого дня по определению компании.
Контекст публикации
Исследователь выразил недовольство тем, как Центр реагирования на угрозы безопасности Microsoft (MSRC) обработал процесс раскрытия информации. В коротком сообщении он заявил: "Я не блефовал, Microsoft, и я делаю это снова". Он также поблагодарил руководство MSRC за то, что сделало эту публикацию возможной, что указывает на напряжённость в отношениях между исследователем и корпорацией.
Технические детали уязвимости
Уязвимость представляет собой локальное повышение привилегий (LPE), которое сочетает в себе проблемы TOCTOU (время проверки — время использования) и путаницу с путями. По словам Уилла Дормана, главного аналитика уязвимостей в Tharros, эксплойт даёт локальному злоумышленнику доступ к базе данных диспетчера учётных записей безопасности (SAM), где хранятся хэши паролей локальных учётных записей.
Дорман подтвердил BleepingComputer, что эксплойт работает, но отметил, что проблема не является лёгкой для эксплуатации. При успешной атаке злоумышленники могут повысить свои привилегии до уровня SYSTEM, что потенциально приводит к полному компрометированию системы. "На этом этапе [злоумышленники] фактически владеют системой и могут, например, запустить оболочку с привилегиями SYSTEM", — пояснил эксперт.
Ограничения и риски
Исследователи, тестировавшие эксплойт, подтвердили, что код содержит ошибки, которые могут препятствовать его стабильной работе. В частности, на платформе Windows Server эксплойт повышает привилегии с уровня не-администратора до повышенного администратора, что требует временного авторизации пользователем.
Хотя для эксплуатации BlueHammer требуется локальный доступ к системе, риск остаётся значительным, так как злоумышленники могут получить такой доступ через различные векторы, включая: - Социальную инженерию - Использование других уязвимостей программного обеспечения - Атаки на основе учётных данных
Позиция Microsoft
Microsoft прокомментировала ситуацию, заявив: "Microsoft обязуется перед клиентами расследовать сообщённые проблемы безопасности и обновлять затронутые устройства для защиты клиентов как можно скорее. Мы также поддерживаем скоординированное раскрытие уязвимостей — широко принятую отраслевую практику, которая помогает обеспечить тщательное расследование и устранение проблем до публичного раскрытия, поддерживая как защиту клиентов, так и сообщество исследователей безопасности".
Комментариев пока нет — может, вы будете первым?