Circula en Internet un código que permite hackear cualquier equipo con Windows y obtener las contraseñas y el control total del sistema
Una discusión corriente con un cazador de vulnerabilidades desencadenó consecuencias insospechadas.
La filtración del código operativo para una nueva vulnerabilidad en Windows ha añadido a Microsoft otro dolor de cabeza. El problema afecta a la elevación de privilegios y aún no tiene corrección, y la publicación del exploit hace la situación especialmente desagradable: ahora no solo los desarrolladores conocen la debilidad, sino también los potenciales atacantes.
La vulnerabilidad, denominada BlueHammer, permite a un atacante local elevar sus privilegios al nivel SYSTEM o conseguir privilegios administrativos ampliados. Según la publicación, el error se comunicó previamente a Microsoft por un canal cerrado, pero luego el código del exploit apareció en acceso público en GitHub.
La publicación se asoció con un investigador que actúa bajo el seudónimo Chaotic Eclipse, que también usó el nombre Nightmare-Eclipse. El autor dejaba claro que estaba descontento con la forma en que el Microsoft Security Response Center gestionó el informe del error. La razón exacta de la divulgación pública aún no está clara, pero el propio investigador señaló un conflicto en torno al proceso de notificación coordinada.
Will Dormann, de Tharros, confirmó que BlueHammer realmente funciona. Según él, se trata de una elevación de privilegios local que combina un error de tipo TOCTOU y una confusión con las rutas. La explotación no parece sencilla, pero en caso de éxito permite acceder a la base Security Account Manager con los hashes de las contraseñas de las cuentas locales. Ese acceso ya posibilita apoderarse casi por completo del sistema.
En las comprobaciones se descubrió que el código funciona de forma inestable. Algunos especialistas reportaron fallos en Windows Server, lo que coincidió con la observación del autor sobre deficiencias en la versión de demostración. Dormann añadió que en la plataforma servidor BlueHammer, al menos en su estado actual, eleva los privilegios no hasta SYSTEM, sino hasta un administrador con privilegios elevados.
Incluso con acceso local el riesgo sigue siendo serio. Los atacantes a menudo obtienen un punto de entrada inicial mediante phishing, otras vulnerabilidades o ataques a credenciales, y luego utilizan errores de este tipo para hacerse con el control completo del dispositivo.
Tras la publicación, Microsoft declaró que investiga los informes sobre problemas de seguridad y procura proteger a los usuarios lo antes posible, además de respaldar la práctica de divulgación coordinada de vulnerabilidades. Al momento de la publicación no existía una corrección disponible para BlueHammer, por lo que este error se considera una vulnerabilidad de día cero.