Nyilvánosságra hozták a Windows „BlueHammer” nulladik napi sérülékenységét

Nyilvánosságra hozta a „BlueHammer” névre keresztelt, Windows zero day sérülékenység kihasználásához szükséges kódokat annak felfedezője, mert nem volt elégedett azzal, ahogyan a Microsoft Biztonsági Válaszközpontja (MSRC) kezelte a bejelentett hiba közzétételi folyamatát. Mivel jelenleg még nem áll rendelkezésre javítás, ezért a Microsoft definíciója szerint nulladik napi sebezhetőségnek kell tekinteni a hibát.

A biztonsági kutató április 3-án „Nightmare-Eclipse” álnéven tette közzé a BlueHammer sérülékenység kihasználásához szükséges kódokat a Github repositoryban, ahol elégedetlenségét is kifejezte a Microsoft által alkalmazott hibakezelési megközelítéssel kapcsolatban. A kutató azt is hozzátette, hogy a közzétett proof-of-concept (PoC) kód olyan hibákat tartalmazhat, amelyek befolyásolhatják annak megbízható működését.

Will Dormann, a Tharros vezető sérülékenység elemzője megerősítette, hogy a BlueHammer exploit működőképes, ám kihasználása egyáltalán nem triviális. Elmondása szerint a sérülékenység egy olyan helyi jogosultságkiterjesztési (LPE) hiba, amely egy TOCTOU (time-of-check to time-of-use) és egy útvonalkezelési (path confusion) probléma kombinációjából ered. A hiba kihasználása lehetővé teszi egy helyi támadó számára a Windows Security Account Manager (SAM) adatbázis elérését, amely a helyi felhasználói fiókok jelszó-hash értékeit tartalmazza, és az így megszerzett hozzáférések birtokában rendszerszintű (SYSTEM) jogosultságot szerezhet magának, ami a teljes rendszer kompromittálásához vezethet.

Annak ellenére, hogy a BlueHammer kihasználásához helyi hozzáférés szükséges, a kockázat továbbra is fennáll, a támadók ugyanis több módon is megszerezhetik a szükséges lokális hozzáféréseket, például különböző social engineering módszerek alkalmazásával vagy egyéb szoftversérülékenységek kihasználásával.

(bleepingcomputer.com)

Címkék

BlueHammer Sérülékenység Windows zero day kibertámadás sérülékenység