Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

В сети появился код, позволяющий взломать любую Windows. Полный доступ к паролям и всей системе

leer en español

BlueHammer Windows Microsoft GitHub Уилл Дорманн Chaotic Eclipse уязвимость нулевого дня
В сети появился код, позволяющий взломать любую Windows. Полный доступ к паролям и всей системе
BlueHammer Windows Microsoft GitHub Уилл Дорманн Chaotic Eclipse уязвимость нулевого дня

Обычная ссора с багхантером привела к самым неожиданным последствиям.

image

Утечка рабочего кода для новой уязвимости в Windows добавила Microsoft ещё одну головную боль. Проблема затрагивает повышение привилегий и пока остаётся без исправления, а публикация эксплойта делает историю особенно неприятной: теперь о слабом месте знают не только разработчики, но и потенциальные злоумышленники.

Уязвимость, получившая название BlueHammer, позволяет локальному атакующему поднять права до уровня SYSTEM или получить расширенные права администратора. По данным из публикации, ошибка была заранее передана Microsoft через закрытый канал, но затем код эксплойта появился в открытом доступе на GitHub.

Публикацию связали с исследователем, выступающим под псевдонимом Chaotic Eclipse, который также использовал имя Nightmare-Eclipse. Автор прямо дал понять, что недоволен тем, как Microsoft Security Response Center вёл работу по сообщению об ошибке. Точная причина публичного раскрытия пока не ясна, но сам исследователь прямо указал на конфликт вокруг процесса координированного уведомления.

Уилл Дорманн из Tharros подтвердил, что BlueHammer действительно работает. По его словам, речь идёт о локальном повышении привилегий, где сочетаются ошибка класса TOCTOU и путаница с путями. Эксплуатация не выглядит простой, но при успехе открывает доступ к базе Security Account Manager с хешами паролей локальных учётных записей. Такой доступ уже позволяет захватить систему почти полностью.

При проверках выяснилось, что код работает нестабильно. Часть специалистов сообщила о сбоях на Windows Server, что совпало с замечанием автора о недоработках в демонстрационной версии. Дорманн добавил, что на серверной платформе BlueHammer, по крайней мере в текущем виде, поднимает права не до SYSTEM, а до повышенного администратора.

Даже при условии локального доступа риск остаётся серьёзным. Злоумышленники нередко получают начальную точку входа через фишинг, другие уязвимости или атаки на учётные данные, а затем используют такие ошибки для полного захвата устройства.

После публикации Microsoft заявила, что проверяет сообщения о проблемах безопасности и старается как можно быстрее защищать пользователей, а также поддерживает практику согласованного раскрытия уязвимостей. На момент выхода материала готового исправления для BlueHammer не было, поэтому данная ошибка считается уязвимостью нулевого дня.