Pesquisador divulgou o código de exploração após frustração com a resposta da Microsoft; falha não tem correção e afeta sistemas desktop com maior consistência.
Um pesquisador de segurança tornou público o código de uma vulnerabilidade não corrigida no Windows. Essa falha é capaz de elevar as permissões de um usuário comum ao nível SYSTEM, o que significa o maior controle sobre o sistema operacional.
A falha, denominada BlueHammer, estava sob um acordo de divulgação responsável com a Microsoft. No entanto, o pesquisador, insatisfeito com a resposta da empresa, optou por divulgar o exploit antes de uma correção estar disponível. Isso classifica a vulnerabilidade como um zero-day pela própria Microsoft, uma falha que é conhecida publicamente sem correção.
BlueHammer não é acesso remoto
O BlueHammer é classificado como Escalação Local de Privilégio (LPE). Por si só, não possibilita que um atacante invada sistemas remotamente. O exploit serve para aumentar o que um intruso já consegue fazer ao ter algum acesso à máquina, seja através de phishing, malware ou roubo de credenciais.
Na prática, essa distinção é menos relevante do que parece. Ataques reais combinam quase sempre um vetor de acesso inicial e uma escalada de privilégios. O BlueHammer cobre essa segunda parte, transformando uma conta com permissões limitadas em controle total.
Como a falha funciona
Will Dormann, analista principal da empresa de segurança Tharros, confirmou que o BlueHammer combina duas técnicas. A primeira é TOCTOU (time-of-check to time-of-use). O Windows valida uma condição em um momento, mas a executa em outro, criando uma janela para interferência.
A segunda técnica é path confusion, que leva o sistema a processar um recurso diferente do que era esperado durante uma operação privilegiada.
Essa combinação resulta no acesso ao banco Gerenciador de Contas de Segurança (SAM), que armazena hashes de senhas de contas locais. Assim, é possível escalar para SYSTEM e comprometer completamente a máquina.
Dormann descreve a consequência como se o atacante assumisse o controle total do sistema e pudesse abrir shells com privilégios de SYSTEM.
Código público, mas sem correção
O pesquisador, que usa o pseudônimo Chaotic Eclipse e também publicou sob o nome Nightmare-Eclipse, não detalhou a mecânica do exploit. Ele agradeceu ironicamente à liderança da Microsoft Security Response Center (MSRC) por tornar essa divulgação possível. O próprio pesquisador reconheceu que o código possui bugs.
Testes realizados por outros pesquisadores confirmaram que o exploit não apresenta um comportamento consistente em Windows Server. Nesse ambiente, o resultado observado foi a escalada de privilégios para administrador, não para SYSTEM completo. Em sistemas desktop, o nível SYSTEM foi confirmado.
Um exploit com bugs e comportamento inconsistente não é necessariamente inofensivo. Códigos de prova de conceito publicados tendem a ser refinados por terceiros ao longo do tempo, especialmente quando o problema é validado por pesquisadores respeitados.
Enquanto não há patch, as equipes de segurança devem monitorar a escalada de privilégios, restringir direitos administrativos locais e prestar atenção a comportamentos anômalos em endpoints. Não existe atalho, pois, sem uma correção disponível, a defesa depende inteiramente da detecção e contenção.
A Microsoft se pronunciou afirmando: “A Microsoft se compromete a investigar problemas de segurança relatados e a atualizar dispositivos afetados para proteger os clientes o mais rápido possível. Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática comumente adotada no setor que ajuda a garantir que os problemas sejam cuidadosamente investigados e resolvidos antes da divulgação pública, contribuindo assim para a proteção dos clientes e da comunidade de pesquisa em segurança.”
Ainda não existem métodos de proteção contra essa exploração de vulnerabilidade.
Acompanhe o Full Games nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se na nossa newsletter e canal do YouTube.