Vulnerabilidad BlueHammer en Windows y polémica de divulgación

En los círculos de ciberseguridad ha surgido un nuevo debate sobre las políticas de divulgación de vulnerabilidades. Un investigador que utiliza el seudónimo Chaotic Eclipse ha publicado públicamente los detalles de un bug de día cero en Windows, citando su insatisfacción con el manejo del problema por parte del Microsoft Security Response Center. La vulnerabilidad, denominada BlueHammer, es una falla de escalada de privilegios local.

Según el investigador, inicialmente reportó el problema a Microsoft a través de los canales oficiales. Sin embargo, el proceso de revisión y la comunicación del MSRC resultaron tan insatisfactorios que decidió publicar los detalles de forma independiente. Este movimiento va en contra de la práctica aceptada de divulgación coordinada, donde se da tiempo a los desarrolladores para corregir los bugs antes del lanzamiento público.

Desde un punto de vista técnico, BlueHammer explota una combinación de vulnerabilidades TOCTOU (time-of-check to time-of-use) y confusión de rutas. Un ataque exitoso podría permitir el acceso a la base de datos SAM, donde se almacenan los hashes de contraseñas de usuarios locales, lo que permitiría la escalada de privilegios al nivel SYSTEM y, en efecto, otorgaría el control total del sistema.

El investigador señala que explotar esta vulnerabilidad requiere tener acceso local previo al dispositivo y no funciona de manera confiable en todos los entornos, particularmente en las versiones de Windows Server. Si bien esto reduce la escala de la amenaza, no elimina su gravedad. Microsoft ha confirmado que está investigando el problema y preparando una solución, reiterando su compromiso con la divulgación responsable de vulnerabilidades. La empresa enfatizó que su objetivo es abordar tales fallas antes de la divulgación pública para minimizar los riesgos para los usuarios.