Un chercheur en sécurité a publié un code d’exploitation pour une faille de Windows permettant une élévation de privilèges, signalée en privé à Microsoft. Cette vulnérabilité, nommée BlueHammer, offre aux attaquants la possibilité d’obtenir des droits SYSTEM ou des permissions d’administrateur élevées.
Publicisée en raison de son mécontentement concernant la procédure de divulgation du Microsoft Security Response Center (MSRC), le chercheur a utilisé l’alias Chaotic Eclipse. Le code a été publié sans qu’aucun correctif officiel ne soit disponible, plaçant la faille dans la catégorie des zero-days, selon la définition de Microsoft.
Les raisons exactes de cette divulgation demeurent floues. Dans un message bref, le chercheur a affirmé : « Je ne bluffais pas Microsoft, et je le fais encore. » Suivant cette déclaration, il a exprimé sa frustration envers les décisions prises par l’entreprise concernant ce problème de sécurité.
Le 3 avril, Chaotic Eclipse a partagé un dépôt GitHub pour l’exploit de BlueHammer sous l’alias Nightmare-Eclipse, exprimant son incompréhension face à la réponse de Microsoft. « Je me demande vraiment quelle était la logique derrière leur décision. Ils savaient que cela allait arriver, et ils ont continué comme ça ? », a-t-il ajouté.
Le code de preuve de concept (PoC) fourni présente des bugs, ce qui peut nuire à son bon fonctionnement. Will Dormann, analyste principal des vulnérabilités chez Tharros, a confirmé que l’exploit de BlueHammer est opérationnel et qu’il résulte d’une élévation de privilèges locale (LPE) combinant un problème de temporisation (TOCTOU) et une confusion de chemin d’accès.
D’après Dormann, exploiter cette faille n’est pas aisé, mais elle permet à un attaquant local d’accéder à la base de données Security Account Manager (SAM), contenant des hachages de mots de passe pour les comptes locaux. Grâce à cet accès, il devient possible d’obtenir des privilèges SYSTEM, pouvant mener à une compromission totale de la machine.
“À ce stade, [les attaquants] possèdent pratiquement le système et peuvent exécuter des commandes avec des privilèges SYSTEM”, a-t-il ajouté.
Source : Will Dormann
D’autres chercheurs ayant testé l’exploit ont corroboré que le code ne fonctionnait pas sur Windows Server, attestant des bugs mentionnés par Chaotic Eclipse. Dormann a précisé que sur cette plateforme, l’exploit augmentait les permissions d’un utilisateur non administrateur à un niveau supérieur, nécessitant une autorisation temporaire pour des opérations nécessitant un accès complet au système.
Bien que les motivations derrière la divulgation par Chaotic Eclipse restent incertaines, Dormann souligne qu’une exigence de MSRC est de fournir une vidéo de l’exploit lors de tout signalement de vulnérabilité. Cela peut faciliter le tri des vulnérabilités signalées, mais complique aussi le processus de soumission d’un rapport valide.
Malgré le fait que BlueHammer exige un attaquant local pour être exploité, le risque qu’il représente demeure important, car des hackers peuvent obtenir un accès local par divers biais, notamment le social engineering, l’exploitation d’autres failles logicielles ou des attaques par credential stuffing.
BleepingComputer a contacté Microsoft pour obtenir un commentaire sur la vulnérabilité BlueHammer, mais n’a pas reçu de réponse avant la publication de cet article.