BlueHammer zero-day-lek in Windows: impact en openbaarmaking discussie

In de cyberbeveiligingswereld is een nieuwe discussie losgebarsten over de manier waarop kwetsbaarheden worden bekendgemaakt. Een onderzoeker onder het pseudoniem Chaotic Eclipse heeft details vrijgegeven over een zogeheten zero-day-lek in Windows. De reden hiervoor is ontevredenheid over de behandeling van het probleem door het Microsoft Security Response Center. Het lek, BlueHammer genaamd, maakt lokale escalatie van gebruikersrechten mogelijk.

De onderzoeker meldt dat het probleem aanvankelijk via officiële kanalen bij Microsoft werd gemeld. Het beoordelingsproces en de communicatie van MSRC bleken echter zo teleurstellend dat werd besloten de details zelfstandig te publiceren. Deze stap druist in tegen de gangbare praktijk van gecoördineerde openbaarmaking, waarbij ontwikkelaars de tijd krijgen om lekken te herstellen voordat ze openbaar worden gemaakt.

Technisch gezien maakt BlueHammer gebruik van een combinatie van TOCTOU-kwetsbaarheden (time-of-check to time-of-use) en padverwarring. Een succesvolle aanval kan toegang geven tot de SAM-database, waarin lokale gebruikerswachtwoord-hashes zijn opgeslagen. Dit stelt escalatie naar SYSTEM-niveau in staat, wat in feite volledige systeemcontrole mogelijk maakt.

De onderzoeker benadrukt dat het uitbuiten van dit lek bestaande lokale toegang tot het apparaat vereist en niet in alle omgevingen even betrouwbaar werkt, met name op Windows-serverversies. Hoewel dit de omvang van de dreiging beperkt, neemt het de ernst ervan niet weg. Microsoft heeft bevestigd het probleem te onderzoeken en een oplossing voor te bereiden, waarbij het bedrijf zijn inzet voor verantwoorde openbaarmaking van kwetsbaarheden herhaalt. Het doel is dergelijke lekken aan te pakken voordat ze openbaar worden, om risico's voor gebruikers te minimaliseren.