Специалист по кибербезопасности, более известный под псевдонимом Chaotic Eclipse, обнародовал на платформе GitHub программный код, позволяющий использовать ранее неизвестную уязвимость в операционных системах Windows. Этот шаг стал результатом длительного противостояния исследователя с командой Microsoft по реагированию на инциденты (MSRC).
3 апреля Chaotic Eclipse опубликовал код под названием BlueHammer, намеренно не вдаваясь в технические детали. Своё решение он объяснил глубоким разочарованием в реакции руководства MSRC на предоставленные им сведения об обнаруженной уязвимости. Вероятно, причиной недовольства исследователя стало требование Microsoft приложить к отчёту видеоматериалы, демонстрирующие процесс эксплуатации уязвимости.
Данный эксплойт позволяет злоумышленнику, имеющему уже ограниченный доступ к целевой системе, повысить свои привилегии до уровня SYSTEM или получить полные администраторские права. Эффективность опубликованного кода была подтверждена Уиллом Дорманном, ведущим аналитиком безопасности из компании Tharros.
По словам Дорманна, атака основана на сочетании уязвимости типа «время проверки — время использования» (TOCTOU) и некорректной обработке системных путей. Это позволяет получить доступ к базе данных Security Account Manager (SAM), где хранятся хеши паролей локальных пользователей. В результате хакер может запустить командную строку с максимальными привилегиями, что ведёт к полному компрометированию устройства.
Однако как сам создатель, так и независимые исследователи отмечают нестабильность работы эксплойта. На серверных версиях Windows он не всегда обеспечивает полный системный доступ, требуя дополнительного подтверждения от администратора. Тем не менее, даже при условии первоначального проникновения в систему, злоумышленники могут осуществить его с помощью социальной инженерии. Корпорация Microsoft на данный момент не выпустила исправление, ограничившись стандартным заявлением о важности своевременного и скоординированного раскрытия информации об уязвимостях.
