Se ha publicado código de exploit para una falla de escalada de privilegios en Windows aún sin parchear, reportada de forma privada a **Microsoft**, lo que permite a los atacantes obtener permisos de SYSTEM o de administrador elevado. # BlueHammer: Una Zero-Day de Windows sin Parchear Apodada **BlueHammer**, la vulnerabilidad fue publicada por un investigador de seguridad descontento con la forma en que el **Microsoft Security Response Center (MSRC)** manejó el proceso de divulgación. Dado que el problema de seguridad no tiene un parche oficial ni una actualización para abordarlo, la falla se considera una zero-day según la definición de **Microsoft**. No está claro qué desencadenó la publicación pública del código de exploit. En una breve publicación bajo el alias Chaotic Eclipse, el investigador dice: "No estaba fanfarroneando a Microsoft, y lo estoy haciendo de nuevo." “A diferencia de otras veces, no explicaré cómo funciona esto; ustedes genios podrán descifrarlo. Además, un enorme agradecimiento al liderazgo de MSRC por hacerlo posible”, agregó el investigador. # Divulgación Pública en GitHub El 3 de abril, Chaotic Eclipse publicó un repositorio de GitHub para el exploit de la vulnerabilidad **BlueHammer** bajo el alias Nightmare-Eclipse, expresando incredulidad y frustración por la forma en que **Microsoft** decidió abordar el problema de seguridad. "Realmente me pregunto cuál fue la lógica detrás de su decisión, como, sabían que esto iba a suceder y aun así hicieron lo que hicieron? ¿Hablan en serio?" El investigador también señaló que el código de prueba de concepto (PoC) contiene errores que pueden impedir que funcione de manera confiable. # Análisis Técnico del Exploit Will Dormann, analista principal de vulnerabilidades en Tharros (anteriormente Analygence), confirmó a BleepingComputer que el exploit **BlueHammer** funciona, diciendo que la falla es una escalada de privilegios local (LPE) que combina un TOCTOU (tiempo de verificación a tiempo de uso) y una confusión de ruta. Explicó que el problema no es fácil de explotar y que otorga a un atacante local acceso a la base de datos del Security Account Manager (SAM), que contiene hashes de contraseñas para cuentas locales. Dado este acceso, los atacantes pueden escalar a privilegios de SYSTEM y potencialmente lograr un compromiso completo de la máquina. “En ese punto, [los atacantes] básicamente son dueños del sistema y pueden hacer cosas como iniciar un shell con privilegios de SYSTEM”, dijo Dormann a BleepingComputer.  Algunos investigadores que probaron el exploit confirmaron que el código no tuvo éxito en Windows Server, lo que confirma la declaración de Chaotic Eclipse de que hay errores que pueden impedir que funcione correctamente. Will Dormann agregó que en la plataforma Server, el exploit **BlueHammer** aumenta los permisos de no administrador a administrador elevado, una protección que requiere que el usuario autorice temporalmente una operación que necesita acceso completo al sistema. # Proceso de Reporte de Vulnerabilidades de MSRC Si bien la razón detrás de la divulgación de Chaotic Eclipse/Nightmare-Eclipse sigue siendo incierta, Dormann señala que un requisito de **MSRC** al enviar una vulnerabilidad es proporcionar un video del exploit. Aunque esto puede ayudar a **Microsoft** a clasificar las vulnerabilidades reportadas más fácilmente, aumenta el esfuerzo de enviar un informe válido. # Mitigación y Riesgo A pesar de que **BlueHammer** requiere un atacante local para explotarlo, el riesgo que representa sigue siendo significativo, ya que los hackers pueden obtener acceso local a través de una variedad de vectores, incluida la ingeniería social, el aprovechamiento de otras vulnerabilidades de software o ataques basados en credenciales. BleepingComputer se ha puesto en contacto con **Microsoft** para obtener comentarios sobre la falla **BlueHammer**, y un portavoz nos envió la siguiente declaración: "Microsoft tiene el compromiso con el cliente de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible. También apoyamos la divulgación coordinada de vulnerabilidades, una práctica ampliamente adoptada en la industria que ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de la divulgación pública, apoyando tanto la protección del cliente como la comunidad de investigación de seguridad". – un portavoz de Microsoft *Artículo actualizado el 7/4 para agregar el comentario de Microsoft*