Foi divulgado o código de exploit para uma falha de escalada de privilégios no Windows que ainda não recebeu patch e permite que invasores obtenham permissões de SYSTEM ou privilégios elevados de administrador.
Batizada de BlueHammer, a vulnerabilidade foi tornada pública por um pesquisador de segurança insatisfeito com a forma como o Microsoft Security Response Center, ou MSRC, conduziu o processo de divulgação.
Como ainda não há correção oficial nem atualização disponível para resolver o problema, a falha é considerada um zero-day, segundo a definição da Microsoft.
Não está claro o que levou à liberação pública do código.
Em uma breve postagem sob o pseudônimo Chaotic Eclipse, o pesquisador afirmou: “Eu não estava blefando com a Microsoft e vou fazer isso de novo”.
“Diferente das outras vezes, não vou explicar como isso funciona; vocês, gênios, podem descobrir.
Além disso, muito obrigado à liderança do MSRC por tornar isso possível”, acrescentou o pesquisador.
Em 3 de abril, Chaotic Eclipse publicou no GitHub um repositório com o exploit da vulnerabilidade BlueHammer, usando o nome Nightmare-Eclipse, e demonstrou incredulidade e frustração com a forma como a Microsoft decidiu tratar a questão de segurança.
“Estou realmente me perguntando qual foi a lógica por trás dessa decisão.
Vocês sabiam que isso ia acontecer e, mesmo assim, fizeram o que fizeram? É sério?”, escreveu.
O pesquisador também observou que o código de proof-of-concept, ou PoC, contém bugs que podem impedir seu funcionamento confiável.
Will Dormann, analista principal de vulnerabilidades da Tharros, antiga Analygence, confirmou que o exploit BlueHammer funciona.
Segundo ele, trata-se de uma falha de local privilege escalation, ou LPE, que combina um problema de TOCTOU, time-of-check to time-of-use, com uma confusão de path.
Ele explicou que a falha não é fácil de explorar, mas permite que um atacante local acesse o banco de dados Security Account Manager, ou SAM, que contém hashes de senha de contas locais.
Com esse acesso, o invasor pode elevar privilégios até SYSTEM e, potencialmente, comprometer completamente a máquina.
“Nesse ponto, [os invasores] basicamente dominam o sistema e podem, por exemplo, abrir um shell com privilégios de SYSTEM”, disse Dormann.
Pesquisadores que testaram o exploit confirmaram que o código não funcionou no Windows Server, o que reforça a declaração de Chaotic Eclipse de que há bugs que podem impedir sua execução correta.
Dormann acrescentou que, na plataforma Server, o exploit BlueHammer eleva as permissões de um usuário sem privilégios de administrador para as de um administrador com privilégios elevados, uma proteção que exige autorização temporária para executar uma ação que requer acesso total ao sistema.
Embora o motivo por trás da divulgação por Chaotic Eclipse ou Nightmare-Eclipse permaneça incerto, Dormann observa que uma das exigências do MSRC ao receber uma vulnerabilidade é o envio de um vídeo demonstrando o exploit.
Embora isso possa ajudar a Microsoft a filtrar com mais facilidade as vulnerabilidades reportadas, também aumenta o esforço necessário para submeter um relatório válido.
Mesmo exigindo acesso local para ser explorada, a ameaça continua significativa, já que hackers podem obter acesso inicial por diferentes vetores, incluindo engenharia social, exploração de outras vulnerabilidades de software ou ataques baseados em credenciais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...