В результате серьезного нарушения протоколов скоординированного раскрытия уязвимостей исследователь в области безопасности опубликовал в открытом доступе эксплойт-код для неисправленной критической уязвимости повышения привилегий в Microsoft Windows. Уязвимость, получившая название «BlueHammer», позволяет злоумышленникам получать права уровня SYSTEM или повышенные права администратора на затронутых системах. Исследователь, работающий под псевдонимами «Chaotic Eclipse» и «Nightmare-Eclipse», опубликовал код на GitHub, прямо ссылаясь на глубокое недовольство Центром реагирования на угрозы безопасности Microsoft (MSRC) и его обработкой процесса приватного раскрытия. Поскольку Microsoft еще не выпустила обновление безопасности для устранения проблемы, уязвимость соответствует собственному определению компании как «нулевого дня», создавая немедленную и серьезную угрозу для непропатченных систем Windows.
Публичная утечка, по-видимому, является актом возмездия. В сообщениях, сопровождающих код эксплойта, исследователь выразил разочарование и недоверие к процессу принятия решений в Microsoft, заявив: «Мне просто действительно интересно, какова была логика их решения? Вы же знали, что это произойдет, и все равно сделали то, что сделали? Они серьезно?» Исследователь также загадочно поблагодарил «руководство MSRC за то, что сделали это возможным», намекая на то, что внутренние процессы или решения в Microsoft непосредственно способствовали публикации. Этот инцидент подчеркивает хрупкие и зачастую напряженные отношения между независимыми исследователями безопасности и командами безопасности крупных вендоров, где воспринимаемое неуважение, плохая коммуникация или медленное время реакции могут привести к превращению нераскрытых уязвимостей в оружие.
Технические детали эксплойта BlueHammer не были подробно описаны в публичном релизе. Исследователь отметил: «В отличие от предыдущих раз, я не объясняю, как это работает; вы, гении, можете разобраться сами». Такой подход вынуждает широкое сообщество безопасности и потенциальных злоумышленников проводить реверс-инжиниринг кода proof-of-concept, чтобы понять базовую уязвимость. Хотя это может замедлить широкомасштабную эксплуатацию, это также гарантирует, что злонамеренные субъекты активно анализируют код. Организации теперь участвуют в гонке со временем, поскольку киберпреступники и государственные группировки, несомненно, интегрируют эту технику повышения привилегий в свои цепочки атак, используя ее для повышения уровня доступа после первоначального компромета сети.
Microsoft еще не выпустила официальное уведомление или патч для BlueHammer. При отсутствии исправления от вендора основными защитными мерами являются процедурные и архитектурные. Организации должны строго применять принцип наименьших привилегий, обеспечивая, чтобы пользователи и приложения по умолчанию не работали с правами администратора. Сегментация сети и надежные решения для обнаружения и реагирования на конечных точках (EDR) критически важны для выявления аномального поведения, указывающего на попытки повышения привилегий. Системным администраторам следует следить за выпуском обновления безопасности от Microsoft через официальные каналы и применять его немедленно после появления. Этот инцидент служит суровым напоминанием о критической важности эффективных и уважительных программ координации уязвимостей для предотвращения попадания конфиденциальных исследований в области безопасности в публичное пространство в опасном, неисправленном состоянии.
