Pesquisador divulgou o código de exploração após insatisfação com a resposta da Microsoft; falha não recebe correção e impacta sistemas desktop de forma mais consistente.
Um pesquisador de segurança anônimo, sob o pseudônimo “Chaotic Eclipse”, revelou o código de exploração de uma vulnerabilidade não corrigida no Windows. Essa falha permite que um usuário comum obtenha acesso ao nível SYSTEM, o mais elevado controle sobre o sistema operacional.
A vulnerabilidade, chamada BlueHammer, estava sob um processo de divulgação responsável junto à Microsoft. Porém, o pesquisador, insatisfeito com a resposta da empresa, decidiu publicar o exploit antes que qualquer correção fosse disponibilizada. Isso classifica a vulnerabilidade como um zero-day, uma falha conhecida publicamente e sem correção.
Em comentários ao BleepingComputer, a Microsoft declarou: “Temos o compromisso de investigar problemas de segurança e atualizar dispositivos afetados rapidamente. Apoiaremos também a divulgação coordenada de vulnerabilidades, uma prática comum que assegura que problemas sejam cuidadosamente investigados e resolvidos antes de serem tornados públicos, beneficiando tanto nossos clientes quanto a comunidade de pesquisa em segurança.”
BlueHammer e suas limitações
BlueHammer é classificado como uma Escalação Local de Privilégio (LPE). Sozinho, não permite que um invasor acesse sistemas remotamente. Em vez disso, ele expande as ações que um intruso pode realizar com acesso já estabelecido à máquina, seja via phishing, malware ou roubo de credenciais.
BTG Pactual sofre ataque cibernético e suspende operações Pix
Na prática, essa distinção é menos importante do que parece. Ataques reais geralmente combinam um vetor de acesso inicial com uma escalada de privilégios, sendo que o BlueHammer é responsável por essa segunda fase, convertendo uma conta de permissões limitadas em pleno controle.
Funcionamento da vulnerabilidade
Will Dormann, analista da Tharros, confirmou ao BleepingComputer que o BlueHammer usa duas técnicas. A primeira, TOCTOU (time-of-check to time-of-use), refere-se ao fato de o Windows validar uma condição em um momento, mas executá-la em outro, criando uma janela para intervenção.
A segunda técnica é a confusão de path, que engana o sistema a processar um recurso diferente do desejado durante uma operação com privilégios.
O resultado dessa técnica é o acesso ao banco de dados Gerenciador de Contas de Segurança (SAM), que armazena hashes de senhas de contas locais. Com esse acesso, um invasor pode escalar para SYSTEM e comprometer totalmente a máquina.
A Lei Felca pode bloquear o Linux no Brasil? — OPINIÃO
Dormann descreve a situação como se o atacante se tornasse, essencialmente, o controlador do sistema, podendo abrir shells com privilégios de SYSTEM.
Código disponível, mas sem correção
O pesquisador, que utiliza os pseudônimos Chaotic Eclipse e Nightmare-Eclipse, não detalhou a mecânica do exploit. Agradecendo à liderança do Microsoft Security Response Center (MSRC), ele escreveu: “Obrigado por tornar isso possível.” O pesquisador admitiu que o código contém falhas.
Testes de outros especialistas confirmaram que o exploit apresenta comportamento inconsistentes em Windows Server, onde o resultado foi uma escalada para administrador elevado, mas não para o nível SYSTEM completo. Em sistemas desktop, o acesso ao nível SYSTEM foi verificado.
Um exploit com falhas e comportamento inconsistente não significa que é inofensivo. Códigos de prova de conceito publicados publicamente frequentemente são refinados por terceiros ao longo do tempo, especialmente quando a vulnerabilidade é real e validada por especialistas respeitados.
Enquanto a correção não é disponibilizada, as equipes de segurança devem se concentrar no monitoramento de escalonamento de privilégios, na restrição de direitos administrativos locais e na atenção a comportamentos anômalos em endpoints. Diante da ausência de uma solução, a defesa se baseia essencialmente na detecção e contenção.
No momento, não há uma forma eficaz de se proteger contra essa vulnerabilidade.
Siga a TecMania nas redes sociais. Para ficar atualizado com as notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.