Onderzoeker lekt Windows Zero-Day Exploit "BlueHammer"

Een kwaadwillende onderzoeker heeft een exploitcode vrijgegeven voor een nog niet gepatcht Windows-privilege-escalatieprobleem. Dit stelt aanvallers in staat om systeem- of beheerdersrechten te verkrijgen. De kwetsbaarheid, BlueHammer genoemd, werd openbaar gemaakt door een beveiligingsonderzoeker die ontevreden was over hoe Microsoft het meldingsproces afhandelde.

Omdat er nog geen officiële patch is, beschouwt Microsoft het als een zero-day. De reden voor de openbaarmaking van de exploitcode is onduidelijk. In een kort bericht, onder het alias Chaotic Eclipse, laat de onderzoeker weten: "Ik blufde Microsoft niet, en ik doe het opnieuw."

Op 3 april publiceerde Chaotic Eclipse een GitHub-repository voor deze exploit, onder het alias Nightmare-Eclipse. Hij uitte zijn frustratie over Microsoft’s aanpak van het beveiligingsprobleem. "Ik vraag me echt af welke overwegingen ze hadden, je wist dat dit ging gebeuren en toch deed je het?"

Het proof-of-concept van de code bevat fouten die de betrouwbaarheid in gevaar kunnen brengen. Will Dormann, een vooraanstaand kwetsbaarheidsanalist bij Tharros, bevestigde de werking van de BlueHammer-exploit. Hij legt uit dat het om een lokale privilege-escalatie gaat, waarbij een aanvaller toegang krijgt tot de Security Account Manager-database, die wachtwoordhashes voor lokale accounts bevat.

Door deze toegang kunnen aanvallers systeemrechten krijgen en mogelijk complete heers over de machine verkrijgen. Dormann zegt: "[De aanvallers] bezitten op dat moment het systeem."

Sommige onderzoekers die de exploit testten, bevestigen dat de code niet werkt op Windows Server, wat overeenkomt met de bewering van Chaotic Eclipse over bugs. Dormann voegt toe dat de exploit op de Server-platform van niet-admin naar geüpgradede beheerder privileges verhoogt, wat tijdelijk toestemming van de gebruiker vereist.

Hoewel het onduidelijk is waarom Chaotic Eclipse/Nightmare-Eclipse besloot de exploit openbaar te maken, merkt Dormann op dat Microsoft een video van de exploit eist, wat de meldingsprocedure bemoeilijkt.

Ondanks dat BlueHammer een lokale aanval vereist, blijft het risico aanzienlijk, omdat aanvallers op verschillende manieren lokale toegang kunnen verkrijgen, bijvoorbeeld via sociale manipulatie of andere kwetsbaarheden.

BleepingComputer heeft Microsoft om een reactie gevraagd. Een woordvoerder stuurde ons het volgende statement:

"Microsoft zet zich in om gemelde beveiligingskwesties te onderzoeken en getroffen apparaten zo snel mogelijk te updaten om klanten te beschermen. We ondersteunen ook gecoördineerde kwetsbaarheidsmelding, een breed aanvaarde praktijk die ervoor zorgt dat problemen grondig worden onderzocht voordat ze openbaar worden geopenbaard." – Microsoft-woordvoerder

Artikel bijgewerkt op 7 april om Microsoft-commentaar toe te voegen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.