){kind=link}
Um pesquisador de segurança divulgou o código de exploração de uma vulnerabilidade não corrigida no Windows. A falha é capaz de elevar um usuário comum ao nível SYSTEM, o maior grau de controle sobre o sistema operacional.
A falha, chamada BlueHammer, estava sob divulgação responsável com a Microsoft. No entanto,o pesquisador, insatisfeito com a resposta da empresa, decidiu publicar o exploit antes de qualquer patch estar disponível. Isso torna a vulnerabilidade um zero-day pelo critério da própria Microsoft, uma falha conhecida publicamente sem correção.
smart_display
Nossos vídeos em destaque
BlueHammer não é acesso remoto
O BlueHammer é classificado como Escalação Local de Privilégio (LPE). Sozinho, não permite que um atacante invada sistemas remotamente. O que ele faz é ampliar o que um intruso já pode fazer quando tem algum acesso à máquina, seja por phishing, malware ou roubo de credenciais.
Na prática, a distinção importa menos do que parece. Ataques reais quase sempre combinam um vetor de acesso inicial com uma escalada de privilégios. E o BlueHammer cobre essa segunda etapa ao transformar uma conta com permissões limitadas em controle total.
Como a falha funciona
Will Dormann, analista principal da empresa de segurança Tharros, confirmou ao BleepingComputer que o BlueHammer combina duas técnicas. A primeira é TOCTOU (time-of-check to time-of-use). O Windows valida uma condição em um momento, mas a executa em outro, abrindo uma janela para interferência.
A segunda é path confusion, que induz o sistema a processar um recurso diferente do pretendido durante uma operação privilegiada.
)
O resultado prático dessa combinação é o acesso ao banco Gerenciador de Contas de Segurança (SAM), que armazena hashes de senhas de contas locais. Com esse acesso, é possível escalar para SYSTEM e comprometer a máquina por completo.
Dormann descreve o desfecho como se o atacante basicamente passasse a controlar o sistema e pudesse abrir shells com privilégios de SYSTEM.
Código público, mas sem correção
O pesquisador, que usa o pseudônimo Chaotic Eclipse e também publicou sob o alias Nightmare-Eclipse, não explicou em detalhes a mecânica do exploit. Em referência à liderança da Microsoft Security Response Center (MSRC), escreveu: “Obrigado por tornar isso possível.” O próprio pesquisador admitiu que o código contém bugs.
Testes de outros pesquisadores confirmaram que o exploit não se comporta de forma consistente em Windows Server. Nesse ambiente, o resultado observado foi escalonamento para administrador elevado, não SYSTEM completo. Em sistemas desktop, o nível SYSTEM foi confirmado.
)
Exploit com bugs e comportamento inconsistente não é o mesmo que exploit inofensivo. Códigos de prova de conceito publicados publicamente tendem a ser refinados por terceiros ao longo do tempo, especialmente quando o problema é real e validado por pesquisadores respeitados.
Enquanto não há patch, equipes de segurança precisam operar com monitoramento de escalonamento de privilégios, restrição de direitos administrativos locais e atenção redobrada a comportamentos anômalos em endpoints. Não existe atalho, uma vez que, sem correção disponível, a defesa depende inteiramente de detecção e contenção.
)
A Microsoft se pronunciou por meio de comunicado, dizendo: “A Microsoft tem o compromisso com os clientes de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes o mais rápido possível. Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática amplamente adotada no setor que ajuda a garantir que os problemas sejam cuidadosamente investigados e resolvidos antes da divulgação pública, contribuindo tanto para a proteção dos clientes quanto para a comunidade de pesquisa em segurança.”
Ainda não há como se proteger dessa exploração de vulnerabilidade.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.