El exploit permite a un atacante local escalar a SYSTEM y acceder a hashes de contraseñas. Microsoft no ha publicado fix y el código ya está público en GitHub.
Un investigador de seguridad que opera bajo el alias Chaotic Eclipse publicó el 3 de abril el código completo de explotación para una vulnerabilidad de escalada de privilegios locales en Windows, bautizada como BlueHammer. El fallo, que permanece sin parche, permite a un atacante con acceso local elevar sus privilegios hasta NT AUTHORITY\SYSTEM, el nivel más alto de permisos en un sistema Windows. El investigador publicó el código en GitHub bajo el alias Nightmare-Eclipse, acompañado de un mensaje directo hacia Microsoft: "No estoy faroleando, y lo hago de nuevo".
La vulnerabilidad combina dos técnicas clásicas de explotación: TOCTOU (time-of-check to time-of-use) y confusión de ruta. Will Dormann, analista principal de vulnerabilidades en Tharros, confirmó en Mastodon que el exploit funciona y que permite acceder a la base de datos SAM, donde Windows almacena los hashes de contraseñas de cuentas locales. Una vez obtenido ese acceso, un atacante puede comprometer completamente la máquina. Dormann demostró que el PoC logra spawnear un shell con privilegios SYSTEM desde una cuenta de usuario limitada en Windows 11 Build 10.0.26200.8037.
El investigador responsable de la filtración expresó su frustración con el proceso de gestión de vulnerabilidades de Microsoft. Según su relato, MSRC requirió que enviara un video demostrando el exploit como parte del proceso de reporte, una demanda que consideró excesiva. Dormann señaló que MSRC solía ser excelente para trabajar con investigadores, pero que los recortes de personal en Microsoft han dejado al equipo siguiendo flujos de trabajo rígidos en lugar de ejercer juicio técnico informado. La comunidad de seguridad ha criticado repetidamente el deterioro en la comunicación entre MSRC y los investigadores independientes.
Microsoft mantiene una página de documentación sobre gestión de zero-days que describe cómo Defender Vulnerability Management identifica y etiqueta vulnerabilidades sin parche. Los zero-days aparecen con la etiqueta "Zero day" en el portal de Defender, junto con recomendaciones de mitigación cuando existen workarounds. Sin embargo, para BlueHammer no hay mitigaciones documentadas públicamente hasta el momento.
El riesgo inmediato para organizaciones en LATAM es limitado pero real. Aunque BlueHammer requiere acceso local, los actores de amenaza pueden obtener ese acceso inicial a través de phishing, credenciales robadas o exploiting de otras vulnerabilidades. Los grupos de ransomware frecuentemente integran exploits LPE públicos en sus cadenas de ataque dentro de días después de la divulgación. El PoC publicado tiene bugs que afectan su fiabilidad, y en Windows Server solo logra permisos de administrador elevado en lugar de SYSTEM. Aun así, un exploit parcialmente funcional en manos de un atacante determinado puede ser refinado y weaponizado. Los equipos de seguridad deben monitorear actividad anómala de escalada de privilegios en sus endpoints y restringir permisos locales al mínimo operativo hasta que Microsoft publique un parche oficial.
FUENTE ORIGINAL
BleepingComputer↗CURADO POR
Santiago Torres