En forsker har offentliggjort detaljer om BlueHammer, en Windows-sårbarhet som gir lokal rettighetsutvidelse, på grunn av misnøye med Microsofts behandling. Les om teknisk detaljer og sikkerhetsimplikasjoner.
© RusPhotoBank
I cybersikkerhetsmiljøer har det brutt ut en ny debatt om sårbarhetsrapporteringsrutiner. En forsker med pseudonymet Chaotic Eclipse har offentliggjort detaljer om en Windows-sårbarhet uten kjent løsning, og begrunner det med misnøye med Microsoft Security Response Centers behandling av saken. Sårbarheten, kalt BlueHammer, er en feil som kan gi lokal rettighetsutvidelse.
Forskeren opplyser at de først rapporterte problemet til Microsoft via offisielle kanaler. Men gjennomgangsprosessen og kommunikasjonen fra MSRC viste seg så utilfredsstillende at de valgte å publisere detaljene på egen hånd. Dette bryter med den vanlige praksisen med koordinert offentliggjøring, der utviklere får tid til å rette feil før offentliggjøring.
Teknisk sett utnytter BlueHammer en kombinasjon av TOCTOU-sårbarheter og stikonfusjon. Et vellykket angrep kan gi tilgang til SAM-databasen, der lokale brukerpassordlagringer bevares, noe som muliggjør rettighetsutvidelse til SYSTEM-nivå og dermed full systemkontroll.
Forskeren påpeker at utnyttelse av denne sårbarheten krever eksisterende lokal tilgang til enheten og ikke fungerer pålitelig i alle miljøer, spesielt på Windows-serverversjoner. Selv om dette reduserer trusselspekteret, eliminerer det ikke alvoret. Microsoft har bekreftet at de undersøker saken og forbereder en løsning, og understreker sitt engasjement for ansvarlig sårbarhetsrapportering. Selskapet la vekt på målet om å håndtere slike feil før offentliggjøring for å minimere brukerrisiko.