في خرق كبير لبروتوكولات الإفصاح المنسق عن الثغرات الأمنية، قام باحث أمني بنشر كود استغلال علني لثغرة خطيرة غير مُرقّعة في نظام تشغيل مايكروسوفت ويندوز تسمح بتصعيد الصلاحيات. تُعرف الثغرة باسم "BlueHammer"، وتُمكّن المهاجمين من الحصول على صلاحيات مستوى "SYSTEM" أو صلاحيات مسؤول مُرتفعة على الأنظمة المتأثرة. نشر الباحث، الذي يعمل تحت الأسماء المستعارة "Chaotic Eclipse" و "Nightmare-Eclipse"، الكود على منصة GitHub، مُعلناً بشكل صريح عن استياء عميق من مركز الاستجابة الأمني التابع لمايكروسوفت (MSRC) وتعاملهم مع عملية الإبلاغ السري. وبما أن مايكروسوفت لم تصدر بعد تحديثاً أمنياً لمعالجة المشكلة، فإن الثغرة تستوفي تعريف الشركة نفسه لثغرة "زيرو-داي"، مما يشكل خطراً فورياً وجسيماً على أنظمة ويندوز التي لم يتم تحديثها.
يبدو أن التسريب العلني هو عمل انتقامي. ففي منشورات رافقت كود الاستغلال، أعرب الباحث عن إحباط وعدم تصديق لقرارات مايكروسوفت، قائلاً: "أنا حقاً أتساءل ما هو المنطق وراء قرارهم، وكأنهم علموا أن هذا سيحدث ومع ذلك فعلوا ما فعلوه؟ هل هم جادون؟". كما شكر الباحث بشكل غامض "قيادة MSRC لجعل هذا الأمر ممكناً"، مما يشير إلى أن عمليات أو قرارات داخلية في مايكروسوفت ساهمت بشكل مباشر في هذا النشر العلني. يسلط هذا الحادث الضوء على العلاقة الهشة والمتنازع عليها غالباً بين الباحثين الأمنيين المستقلين وفرق الأمن في الشركات الكبرى، حيث يمكن أن يؤدي الشعور بعدم الاحترام أو سوء التواصل أو بطء الاستجابة إلى تحويل الثغرات غير المُعلنة إلى أسلحة.
لم يتم تفصيل الجوانب التقنية المحددة لاستغلال BlueHammer في النشر العلني، حيث صرح الباحث: "على عكس المرات السابقة، لن أشرح كيف يعمل هذا؛ أنتم أيها العباقرة يمكنكم اكتشاف ذلك بأنفسكم". هذا النهج يجبر مجتمع الأمن الأوسع والجهات الخبيثة المحتملة على تفكيك كود "إثبات المفهوم" لفهم الثغرة الأساسية. بينما قد يبطئ هذا من الانتشار الواسع للاستغلال، فإنه يضمن أيضاً أن الجهات الخبيثة تقوم بتحليل الكود بنشاط. تدخل المنظمات الآن في سباق مع الزمن، حيث سيقوم مجرمو الإنترنت والمجموعات المدعومة من الدول بلا شك بدمج تقنية تصعيد الصلاحيات هذه في سلاسل هجومهم، باستخدامها لرفع مستوى الوصول بعد اختراق الشبكة الأولي.
لم تصدر مايكروسوفت حتى الآن نشرة أو ترقيعاً رسمياً لثغرة BlueHammer. في غياب إصلاح من المورد، فإن الإجراءات الدفاعية الأساسية هي إجرائية وهيكلية. يجب على المنظمات فرض مبدأ "أقل صلاحيات" بشكل صارم، والتأكد من أن المستخدمين والتطبيقات لا تعمل بحقوق مسؤول افتراضياً. يعد تجزئة الشبكة وحلول الكشف عن نقاط النهاية والاستجابة (EDR) القوية أمراً بالغ الأهمية لتحديد السلوك غير الطبيعي الذي يشير إلى محاولات تصعيد الصلاحيات. يجب على مسؤولي النظام مراقبة إصدار تحديث أمني من مايكروسوفت عبر القنوات الرسمية وتطبيقه فور توفره. يذكرنا هذا الحادث بأهمية فعالية واحترام برامج تنسيق الثغرات لمنع تسرب الأبحاث الأمنية الحساسة إلى المجال العام في حالة خطيرة وغير مخففة.
