Läs om BlueHammer, en Windows-zero-day-sårbarhet som diskuteras efter publicering av forskaren Chaotic Eclipse. Upptäck detaljer om privilegieeskalering och Microsofts svar.
© RusPhotoBank
En ny debatt har blossat upp inom cybersäkerhetskretsar kring sårbarhetsrapporteringspolicyer. En forskare som använder pseudonymen Chaotic Eclipse har offentligt publicerat detaljer om en Windows-zero-day-sårbarhet, med hänvisning till missnöje med Microsoft Security Response Centers hantering av problemet. Sårbarheten, som fått namnet BlueHammer, är ett lokalt privilegieeskaleringsfel.
Enligt forskaren rapporterade de initialt problemet till Microsoft via officiella kanaler. Men granskningsprocessen och kommunikationen från MSRC visade sig vara så otillfredsställande att de valde att publicera detaljerna självständigt. Detta steg bryter mot den vedertagna principen om koordinerad rapportering, där utvecklare ges tid att åtgärda buggar innan offentliggörande.
Tekniskt sett utnyttjar BlueHammer en kombination av TOCTOU-sårbarheter (time-of-check to time-of-use) och förvirring i sökvägar. En lyckad attack skulle kunna ge åtkomst till SAM-databasen, där lokala användares lösenordshashar lagras, vilket möjliggör privilegieeskalering till SYSTEM-nivå och i praktiken ger full systemkontroll.
Forskaren påpekar att utnyttjande av denna sårbarhet kräver befintlig lokal åtkomst till enheten och inte fungerar tillförlitligt i alla miljöer, särskilt på Windows-serverversioner. Även om detta minskar hotets omfattning eliminerar det inte dess allvar. Microsoft har bekräftat att de undersöker problemet och förbereder en fix, samt upprepar sitt åtagande för ansvarsfull sårbarhetsrapportering. Företaget betonade att deras mål är att hantera sådana brister innan offentliggörande för att minimera användarrisker.