Опубликован код эксплойта уязвимости нулевого дня «BlueHammer» для Windows

Опубликован код эксплойта для незакрытой уязвимости повышения привилегий в Windows, о которой ранее в частном порядке уведомили Microsoft. Уязвимость позволяет злоумышленникам получать права уровня SYSTEM или повышенные административные привилегии.

Уязвимость получила название BlueHammer. Ее опубликовал исследователь в области безопасности, недовольный тем, как Центр реагирования на инциденты безопасности Microsoft (MSRC) обработал процесс раскрытия.

Поскольку для проблемы нет официального исправления и не выпущено обновление, устраняющее ее, уязвимость по классификации Microsoft считается уязвимостью нулевого дня

В настоящее время неясно, что именно стало причиной публичного раскрытия кода эксплойта. В коротком сообщении исследователь под псевдонимом Chaotic Eclipse заявил:

Я не блефовал с Microsoft и снова публикую материалы. В этот раз без подробных объяснений — специалисты смогут разобраться самостоятельно. Также благодарю руководство MSRC за сложившуюся ситуацию.

3 апреля Chaotic Eclipse опубликовал репозиторий на GitHub с эксплойтом уязвимости BlueHammer под псевдонимом Nightmare-Eclipse. В публикации он выразил недоумение и разочарование тем, как Microsoft решила реагировать на проблему безопасности:

Мне действительно интересно, какой логикой они руководствовались при принятии решения. Вы понимали, что это произойдет, и все равно сделали то, что сделали?

Исследователь также отметил, что код «доказательства концепции» (proof-of-concept) содержит ошибки, которые могут мешать его стабильной работе.

Уилл Дорманн (Will Dormann), ведущий аналитик уязвимостей в компании Tharros (ранее Analygence), подтвердил, что эксплойт BlueHammer действительно работает. По его словам, уязвимость относится к классу локального повышения привилегий (LPE) и представляет собой комбинацию TOCTOU (time-of-check to time-of-use) и путаницы путей (path confusion).

Демонстрация работы эксплойта BlueHammer. Источник: Will Dormann

Он пояснил, что эксплуатировать уязвимость непросто, однако она дает локальному злоумышленнику доступ к базе данных Security Account Manager (SAM), в которой хранятся хэши паролей локальных учетных записей.

Получив такой доступ, атакующие могут повысить привилегии до уровня SYSTEM и потенциально полностью скомпрометировать систему.

Дорманн сообщил:

На этом этапе атакующие фактически получают полный контроль над системой и могут, например, запускать оболочку с привилегиями SYSTEM.

Некоторые исследователи, тестировавшие эксплойт, подтвердили, что код не срабатывает в Windows Server. Это подтверждает заявление Chaotic Eclipse о наличии ошибок, которые могут мешать корректной работе.

Уилл Дорманн добавил, что на серверной платформе эксплойт BlueHammer повышает привилегии с уровня обычного пользователя до уровня администратора. При этом действует защита, требующая от пользователя временно подтвердить выполнение операции, которая требует полного доступа к системе.

Хотя причины, по которым исследователь Chaotic Eclipse решил раскрыть уязвимость, остаются неясными, Дорманн отметил, что одним из требований MSRC при отправке отчета об уязвимости является предоставление видеозаписи работы эксплойта.

С одной стороны, это помогает Microsoft быстрее и эффективнее обрабатывать поступающие сообщения об уязвимостях, однако с другой — увеличивает объем работы, необходимый для подготовки корректного отчета.

Несмотря на то, что для эксплуатации BlueHammer злоумышленнику требуется локальный доступ, риск остается значительным. Получить такой доступ можно различными способами, включая социальную инженерию, использование других уязвимостей в программном обеспечении или атаки, основанные на компрометации учетных данных.

Представитель Microsoft так прокомментировал данную ситуацию:

Microsoft придерживается обязательства перед клиентами расследовать сообщения об уязвимостях безопасности и как можно быстрее выпускать обновления для защиты затронутых устройств. Мы также поддерживаем координированное раскрытие уязвимостей — широко распространенную в отрасли практику, которая позволяет тщательно изучать и устранять проблемы до их публичного раскрытия, обеспечивая защиту пользователей и поддержку сообщества исследователей безопасности.