Утечка эксплойта BlueHammer для уязвимости нулевого дня в Windows

Функционирующий, хотя и с ошибками, концептуальный эксплойт для неисправленной уязвимости повышения привилегий в Windows, получившей название BlueHammer, был опубликован на GitHub исследователем под псевдонимом Chaotic Eclipse и Nightmare Eclipse.

Несколько специалистов по безопасности устранили недочёты в этом эксплойте и добились его работы на обновлённых системах Windows 10, 11 и Windows Server. Теперь вопрос в том, планирует ли Microsoft выпустить исправление.

Демонстрация работы эксплойта BlueHammer

Публикация исследователя намекает, что уязвимость BlueHammer, которой пока не присвоен идентификатор CVE, изначально была раскрыта Microsoft, но некие проблемы в процессе взаимодействия, по-видимому, заставили его обнародовать эксплойт.

«В концепте есть несколько ошибок, которые могут мешать его работе, возможно, исправлю их позже», — написал Chaotic/Nightmare Eclipse.

Аналитик по уязвимостям Уилл Дорманн подтвердил, что опубликованный эксплойт работает «достаточно хорошо», даже на Windows Server, хотя на этой платформе он не даёт привилегий SYSTEM, а «всего лишь» права администратора.

Рахул Рамеш и Риган Джаяпаул из команды Howler Cell компании Cyderes также устранили проблемы в предоставленном исходном коде и успешно его протестировали.

«Цель цепочки эксплойта проста: заставить Microsoft Defender создать новую теневую копию тома, приостановить Defender в точно определённый момент, а затем получить доступ к конфиденциальным файлам кустов реестра из этого снимка до того, как Defender их очистит», — пояснили они.

Это позволяет эксплойту извлечь и расшифровать хранящиеся NTLM-хэши паролей локальных учётных записей, изменить пароль локального администратора и войти в эту учётную запись.

Затем эксплойт использует эту учётную запись для дублирования токена безопасности администратора, присваивает ему уровень целостности SYSTEM и использует CreateService для создания вредоносной временной службы Windows, которая снова запустит исполняемый файл PoC и создаст экземпляр cmd.exe, работающий от имени NT AUTHORITY\SYSTEM в текущем сеансе пользователя.

«Наконец, чтобы скрыть следы, он снова использует SamiChangePasswordUser для восстановления исходного NTLM-хэша пароля, который был извлечён ранее, оставляя пароль пользователя с его точки зрения неизменным», — подытожили они.

Что делать?

Брайан Хасси, старший вице-президент команды Cyber Fusion в Cyderes, отмечает, что BlueHammer напоминает, что самые живучие уязвимости нулевого дня не всегда требуют программной ошибки.

«Эта атака превращает собственный процесс обновления Microsoft Defender в механизм кражи учетных данных, связывая пять легитимных функций Windows в последовательность, которую их разработчики не предполагали», — пояснил он для Help Net Security и добавил, что сигнатура Defender, выпущенная Microsoft после публикации эксплойта, обнаруживает только исходный исполняемый файл.

«Простая перекомпиляция позволяет обойти эту защиту, оставляя базовую технику нулевого дня полностью необнаруженной. До выхода настоящего исправления командам безопасности следует искать поведенческие признаки: перечисление теневых копий томов из пользовательских процессов, неожиданную регистрацию корневых папок синхронизации Cloud Files, а также внезапный запуск служб Windows из-под учетных записей с низкими привилегиями», — посоветовал он.

Рамеш и Джаяпаул также рекомендовали организациям отслеживать неожиданные изменения паролей локальных учетных записей администратора с последующим быстрым восстановлением и строго применять принцип минимальных привилегий.

«Для выполнения BlueHammer требуется локальный доступ. Цепочка атаки начинается в контексте стандартного пользователя, поэтому ограничение возможностей скомпрометированных учетных записей — особенно в части взаимодействия с API Cloud Files и интерфейсами VSS — существенно сокращает поверхность атаки», — отметили они.

В настоящее время нет публичных сообщений об использовании BlueHammer злоумышленниками, но, как подчеркнули исследователи, «операторы программ-вымогателей и APT-группы регулярно превращают публичный PoC-код для повышения привилегий в оружие в течение нескольких дней после его выпуска». Это означает, что атаки, возможно, уже ведутся и остаются незамеченными.

Единственная хорошая новость заключается в том, что эксплойт не может быть использован неаутентифицированными злоумышленниками, но изобретательные атаки часто находят способ преодолеть это препятствие, крадя учетные данные, используя социальную инженерию и другие методы.

Мы обратились в Microsoft за комментарием по ситуации и обновим эту статью, как только получим ответ.

Подпишитесь на нашу экстренную e-mail рассылку, чтобы никогда не пропускать последние утечки данных, уязвимости и киберугрозы. Подписаться можно здесь!