Exploit-Code wurde für eine ungepatchte Windows-Schwachstelle zur Privilegieneskalation veröffentlicht, die privat an **Microsoft** gemeldet wurde und es Angreifern ermöglicht, SYSTEM- oder erhöhte Administratorrechte zu erlangen. # BlueHammer: Ein ungepatchter Windows Zero-Day Die als **BlueHammer** bezeichnete Schwachstelle wurde von einem Sicherheitsforscher veröffentlicht, der unzufrieden damit war, wie das **Microsoft Security Response Center (MSRC)** den Offenlegungsprozess handhabte. Da für das Sicherheitsproblem kein offizieller Patch existiert und keine Aktualisierung zur Behebung verfügbar ist, wird die Schwachstelle nach **Microsofts** Definition als Zero-Day betrachtet. Es ist unklar, was die öffentliche Veröffentlichung des Exploit-Codes ausgelöst hat. In einem kurzen Beitrag unter dem Alias Chaotic Eclipse sagt der Forscher: "Ich habe Microsoft nicht blufft und ich tue es wieder." „Im Gegensatz zu früheren Zeiten erkläre ich nicht, wie das funktioniert; ihr Genies könnt das herausfinden. Außerdem ein riesiges Dankeschön an die MSRC-Führung, die dies möglich gemacht hat“, fügte der Forscher hinzu. # Öffentliche Offenlegung auf GitHub Am 3. April veröffentlichte Chaotic Eclipse ein GitHub-Repository für den **BlueHammer**-Schwachstellen-Exploit unter dem Alias Nightmare-Eclipse und drückte seine Ungläubigkeit und Frustration darüber aus, wie **Microsoft** mit der Behebung des Sicherheitsproblems umging. "Ich frage mich wirklich, was die Überlegungen hinter ihrer Entscheidung waren, wie ihr wusstet, dass das passieren würde und ihr trotzdem getan habt, was auch immer ihr getan habt? Ist das deren Ernst?" Der Forscher merkte auch an, dass der Proof-of-Concept (PoC)-Code Fehler enthält, die seine zuverlässige Funktion verhindern könnten. # Technische Analyse des Exploits Will Dormann, Principal Vulnerability Analyst bei Tharros (ehemals Analygence), bestätigte gegenüber BleepingComputer, dass der **BlueHammer**-Exploit funktioniert, und sagte, dass die Schwachstelle eine lokale Privilegieneskalation (LPE) sei, die eine TOCTOU- (Time-of-Check to Time-of-Use) und eine Pfadverwirrung kombiniere. Er erklärte, dass das Problem nicht einfach auszunutzen sei und dass es einem lokalen Angreifer Zugriff auf die Security Account Manager (SAM)-Datenbank gewähre, die Passwort-Hashes für lokale Konten enthält. Mit diesem Zugriff können Angreifer zu SYSTEM-Privilegien eskalieren und potenziell eine vollständige Kompromittierung der Maschine erreichen. „Zu diesem Zeitpunkt gehören [die Angreifer] im Grunde das System und können Dinge tun, wie eine SYSTEM-privilegierte Shell starten“, sagte Dormann gegenüber BleepingComputer.  Einige Forscher, die den Exploit testeten, bestätigten, dass der Code unter Windows Server nicht erfolgreich war, was die Aussage von Chaotic Eclipse bestätigte, dass es Fehler gibt, die seine ordnungsgemäße Funktion verhindern könnten. Will Dormann fügte hinzu, dass der **BlueHammer**-Exploit auf der Server-Plattform die Berechtigungen von Nicht-Administrator zu erhöhten Administratorrechten erhöht, eine Schutzmaßnahme, die erfordert, dass der Benutzer eine Operation, die vollen Systemzugriff benötigt, vorübergehend autorisiert. # MSRC-Prozess zur Meldung von Schwachstellen Obwohl der Grund für die Offenlegung von Chaotic Eclipse/Nightmare-Eclipse unklar bleibt, merkt Dormann an, dass eine Anforderung des **MSRC** bei der Einreichung einer Schwachstelle die Bereitstellung eines Videos des Exploits ist. Dies mag **Microsoft** zwar helfen, gemeldete Schwachstellen leichter zu sichten, erhöht aber den Aufwand für die Einreichung eines gültigen Berichts. # Abhilfemaßnahmen und Risiken Obwohl **BlueHammer** einen lokalen Angreifer zur Ausnutzung erfordert, ist das damit verbundene Risiko immer noch erheblich, da Hacker über eine Vielzahl von Vektoren lokalen Zugriff erlangen können, darunter Social Engineering, Ausnutzung anderer Software-Schwachstellen oder Angriffe auf Anmeldeinformationen. BleepingComputer hat **Microsoft** um einen Kommentar zu der **BlueHammer**-Schwachstelle gebeten, und ein Sprecher hat uns die folgende Erklärung gesendet: „Microsoft hat die Verpflichtung gegenüber Kunden, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich zu aktualisieren, um Kunden zu schützen. Wir unterstützen auch die koordinierte Offenlegung von Schwachstellen, eine weit verbreitete Industriepraxis, die sicherstellt, dass Probleme sorgfältig untersucht und behoben werden, bevor sie öffentlich gemacht werden, und sowohl den Kundenschutz als auch die Sicherheitsforschungsgemeinschaft unterstützt.“ – ein Microsoft-Sprecher *Artikel aktualisiert am 4.7. zur Aufnahme des Microsoft-Kommentars*