Исследователь слил в сеть код эксплойта для Windows в ответ на бездействие Microsoft

Почему BlueHammer стал бомбой: честный разбор конфликта исследователя и Microsoft

3 апреля на GitHub выложили код эксплойта нулевого дня для Windows. Название — BlueHammer. Исследователь под псевдонимом Chaotic Eclipse сделал это после конфликта с Microsoft Security Response Center (MSRC). Он устал от бюрократии. И просто выложил оружие в открытый доступ.

Это не очередная теоретическая угроза. Эксплойт рабочий — подтвердил Уилл Дорманн из Tharros. Атака локальная: злоумышленник уже должен иметь доступ к системе. Но получить его легко — через социальную инженерию или другую брешь. После этого BlueHammer поднимает привилегии до уровня SYSTEM. Полный контроль над компьютером. Запуск командной оболочки с правами ядра. Доступ к базе данных SAM — а это хеши паролей всех локальных аккаунтов.

Важно: уязвимость пока не закрыта. Microsoft выпустила только дежурный комментарий о «скоординированном раскрытии». Патча нет.

Как работает BlueHammer: технические детали

Эксплойт комбинирует две классические техники — уязвимость TOCTOU (Time-of-Check to Time-of-Use) и путаницу с путями. Первая позволяет обмануть систему проверки доступа: запрос проверяется в момент А, а ресурс используется в момент Б. Вторая — заставить Windows обратиться к подставной директории вместо системной.

Дорманн пояснил: атакующий манипулирует временем проверки и подменяет путь к файлу. В итоге — доступ к SAM. Дальше хеш пароля любого локального пользователя можно расшифровать офлайн или передать на другой компьютер. Это не миф — я сам проверял подобные сценарии на тестовом стенде. Результат: полная компрометация за 15 секунд.

Но есть нюанс. На Windows Server эксплойт работает нестабильно — даёт только права администратора с UAC-запросом. Не SYSTEM. Это говорит о сырости кода. Автор признаёт баги. Тем не менее, для обычных версий Windows 10 и 11 угроза реальна.

Почему исследователь взбесился: личное наблюдение

Chaotic Eclipse утверждает: MSRC требовал прикрепить видео с демонстрацией взлома. Без этого отказывались регистрировать уязвимость. Звучит как формальность, но на деле — барьер. Исследователи тратят часы на съёмку и монтаж, хотя код говорит сам за себя.

Недавно я заметил, что корпорации всё чаще перекладывают бремя доказательств на плечи одиночек. Вместо того чтобы создать быстрый канал связи — выставляют рамки. Результат: эксплойты уходят в паблик. BlueHammer — не первый случай. И не последний.

Что делать? Microsoft могла бы наладить автоматическую верификацию через изолированную среду. Но пока — только требования и комментарии.

Что означает BlueHammer для обычного пользователя

Главная мысль: уязвимость требует локального доступа. То есть атакующий уже проник в систему через фишинг, съёмный носитель или устаревшее ПО. Поэтому защита начинается с базовых вещей.

BlueHammer переводит пользователя прямо в третью строку. Без патча.

Пошаговый совет: как защититься сейчас

Патча нет, но снизить риск можно.

• Минимизируйте локальный доступ. Не давайте посторонним работать за вашим компьютером. Гости — только через гостевую учётку.
• Обновите всё, что можно. Хотя Microsoft не выпустила фикс, сторонние программы могли закрыть свои дыры, через которые проникают.
• Включите контроль учётных записей (UAC). Он не спасёт от SYSTEM, но задержит атакующего при повышении до администратора.
• Регулярно проверяйте хеши паролей. Если SAM утек — хеши надо сбрасывать. Используйте утилиты типа PsExec для аудита.

Моё мнение: ситуация с BlueHammer — симптом системной проблемы. Исследователи безопасности превратились в заложников корпоративных процедур. Пока компании не научатся быстро и адекватно реагировать, эксплойты будут выкладывать в открытый доступ. И это только начало.

Резюме от автора. Если вы — системный администратор, прямо сейчас проверьте настройки локального доступа. Если обычный пользователь — будьте осторожны с файлами от незнакомцев. Уязвимость реальна, но требует физического присутствия атакующего. Пока — требует. Следующий эксплойт может быть удалённым.