Pesquisador divulgou o código de exploração após insatisfação com a resposta da Microsoft; falha não possui correção e afeta mais consistentemente sistemas desktop.
Um pesquisador de segurança anônimo, conhecido como “Chaotic Eclipse”, lançou o código de exploração de uma vulnerabilidade ainda não corrigida no Windows. Esta falha tem a capacidade de elevar um usuário comum ao nível SYSTEM, o maior grau de controle que se pode ter sobre o sistema operacional.
Chamado de BlueHammer, o problema estava sob divulgação responsável com a Microsoft. Contudo, insatisfeito com a resposta da empresa, o pesquisador decidiu publicar o exploit antes que qualquer correção estivesse disponível. Isso qualifica a vulnerabilidade como um zero-day segundo os critérios da própria Microsoft, apresentando-se como uma falha amplamente conhecida sem correção.
Em comentários ao BleepingComputer, a Microsoft declarou: “Temos o compromisso de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger nossos clientes o mais rápido possível. Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática importante que garante a investigação cuidadosa e a resolução de problemas antes da divulgação pública, beneficiando nossos clientes e a comunidade de pesquisa em segurança.”
BlueHammer e sua natureza
O exploit BlueHammer é classificado como Escalação Local de Privilégio (LPE). Por si só, ele não permite que um atacante comprometa sistemas remotamente. O que ele faz é ampliar as capacidades de um intruso que já obteve acesso à máquina por meio de phishing, malware ou outras maneiras de roubo de credenciais.
A diferença entre as categorias é menor na prática do que parece. Ataques reais frequentemente combinam um vetor inicial de acesso com uma escalada de privilégios, e o BlueHammer atua precisamente nessa segunda etapa, transformando uma conta com permissões limitadas em controle total.
Funcionamento da falha
Will Dormann, analista da Tharros, confirmou ao BleepingComputer que o BlueHammer combina duas técnicas. A primeira, TOCTOU (time-of-check to time-of-use), ocorre quando o Windows valida uma condição em um momento, mas a executa em outro, criando uma janela para interferência.
A segunda técnica é chamada de path confusion, induzindo o sistema a processar um recurso diferente do desejado durante uma operação privilegiada.
O resultado dessa combinação é o acesso ao banco de Gerenciamento de Contas de Segurança (SAM), que armazena hashes de senhas de contas locais. Com esse acesso, é possível escalar para SYSTEM e comprometer completamente a máquina.
Código disponível, mas sem solução
O pesquisador, que usa também o pseudônimo Nightmare-Eclipse, não entrou em detalhes sobre a mecânica do exploit. Em uma alusão à liderança do Microsoft Security Response Center (MSRC), escreveu: “Obrigado por tornar isso possível.” Ele também admitiu que o código contém erros.
Testes realizados por outros especialistas confirmaram que o exploit não apresenta um desempenho consistente em Windows Server, onde foi observado um escalonamento para administrador elevado, mas não para SYSTEM completo. Em sistemas desktop, a elevação para SYSTEM foi verificada.
Embora o exploit contenha erros e comporte-se de maneira inconsistente, isso não o torna inofensivo. Códigos de prova de conceito divulgados publicamente tendem a ser aperfeiçoados por terceiros ao longo do tempo, especialmente quando se trata de um problema validado por pesquisadores respeitados.
Enquanto não houver uma correção, as equipes de segurança devem focar em monitorar escalonamentos de privilégios, restringir direitos administrativos locais e estar atentas a comportamentos anômalos em endpoints. Sem uma solução, a defesa dependerá totalmente de detecção e contenção.
Ainda não existe uma forma eficaz de proteção contra essa vulnerabilidade.
Acompanhe o TecMania nas redes sociais para mais atualizações. Inscreva-se em nossa newsletter e canal do YouTube para estar por dentro das últimas notícias sobre segurança e tecnologia.
