Дослідник з кібербезпеки опублікував експлойт-код для критичної вразливості Windows, яка поки що не має офіційного виправлення та дозволяє отримати підвищені права адміністратора. Вразливість, відома під назвою BlueHammer, була раніше приватно розкрита Microsoft, але, як стверджує автор, незадоволення діями Microsoft Security Response Center (MSRC) стало причиною публікації.
Про це розповідає ProIT
Публікація експлойту та реакція спільноти
Chaotic Eclipse, який діяв під псевдонімом Nightmare-Eclipse, опублікував 3 квітня 2026 року на GitHub репозиторій із PoC-кодом експлойту BlueHammer. У своїй заяві дослідник підкреслив власну недовіру та розчарування щодо підходу Microsoft до обробки вразливостей, а також зазначив, що не розкрив подробиць роботи експлойту, залишивши це на розсуд спільноти. Він також попередив, що код містить помилки й може працювати некоректно на різних версіях Windows.
“Я не блефував Microsoft, і роблю це знову. На відміну від попередніх випадків, я не пояснюю, як це працює; ви, генії, можете зрозуміти самі. Також величезна подяка керівництву MSRC за те, що зробили це можливим”.
BlueHammer визначена Microsoft як уразливість нульового дня, оскільки офіційного патча поки не випущено. Відомо, що деякі дослідники перевірили роботу експлойту. Зокрема, головний аналітик з вразливостей у Tharros Вілл Дорманн підтвердив його працездатність, хоча наголосив, що експлойт працює лише за певних умов і не завжди успішно на Windows Server. У деяких випадках він дозволяє підвищити права користувача з неадміністратора до адміністратора після тимчасового підтвердження особи.
Суть та потенційні ризики вразливості BlueHammer
BlueHammer є локальною вразливістю ескалації привілеїв (LPE), яка поєднує техніки TOCTOU (Time of Check to Time of Use) та плутанину зі шляхом. Основна небезпека полягає в тому, що локальний зловмисник може отримати доступ до бази даних Security Account Manager (SAM), де зберігаються хеші паролів локальних акаунтів. Це відкриває шлях до отримання прав SYSTEM та повного контролю над комп’ютером.
Хоча для експлуатації BlueHammer необхідний локальний доступ, дослідники попереджають про значний ризик використання цієї вразливості через соціальну інженерію, інші вразливості або атаки на облікові дані. Деякі спеціалісти звертають увагу, що код експлойту може містити баги, які впливають на його стабільність та ефективність.
Щодо мотивів публікації коду, вони залишаються невідомими. За словами Вілла Дорманна, MSRC часто вимагає від дослідників додаткові докази у вигляді відео-демонстрацій, що збільшує навантаження на експертів, але дозволяє Microsoft швидше обробляти репорти про вразливості.
У відповідь на інцидент представник Microsoft підкреслив важливість скоординованого розкриття вразливостей для забезпечення захисту користувачів і ретельного розслідування проблем до їх публічного оголошення:
“Microsoft зобов’язана оперативно розслідувати повідомлені проблеми безпеки та оновлювати уражені пристрої для захисту клієнтів. Ми підтримуємо скоординоване розкриття інформації про вразливості – галузеву практику, яка забезпечує ретельне розслідування та вирішення проблем до публічного розкриття, захищаючи як клієнтів, так і спільноту дослідників безпеки”.