Vulnerabilità BlueHammer in Windows: dettagli e dibattito sulla cybersecurity

Nel mondo della cybersecurity è scoppiato un nuovo dibattito sulle politiche di divulgazione delle vulnerabilità. Un ricercatore che usa lo pseudonimo Chaotic Eclipse ha pubblicato i dettagli di una vulnerabilità zero-day di Windows, motivando la scelta con la propria insoddisfazione per la gestione del problema da parte del Microsoft Security Response Center. La vulnerabilità, chiamata BlueHammer, è un difetto di escalation dei privilegi locali.

Il ricercatore ha dichiarato di aver segnalato inizialmente il problema a Microsoft attraverso i canali ufficiali. Tuttavia, il processo di revisione e la comunicazione da parte di MSRC si sono rivelati così insoddisfacenti da spingerlo a pubblicare i dettagli in modo indipendente. Questa mossa va contro la pratica accettata della divulgazione coordinata, che concede agli sviluppatori il tempo necessario per risolvere i bug prima della diffusione pubblica.

Dal punto di vista tecnico, BlueHammer sfrutta una combinazione di vulnerabilità TOCTOU (time-of-check to time-of-use) e confusione sui percorsi. Un attacco riuscito potrebbe consentire l'accesso al database SAM, dove sono memorizzati gli hash delle password degli utenti locali, permettendo l'escalation dei privilegi al livello SYSTEM e garantendo di fatto il controllo completo del sistema.

Il ricercatore sottolinea che per sfruttare questa vulnerabilità è necessario un accesso locale preesistente al dispositivo e che non funziona in modo affidabile in tutti gli ambienti, in particolare sulle versioni server di Windows. Sebbene questo riduca la portata della minaccia, non ne elimina la gravità. Microsoft ha confermato di stare indagando sulla questione e preparando una correzione, ribadendo il proprio impegno per una divulgazione responsabile delle vulnerabilità. L'azienda ha sottolineato l'obiettivo di risolvere tali difetti prima della divulgazione pubblica, per minimizzare i rischi per gli utenti.