Du code d'exploit a été publié pour une faille d'escalade de privilèges Windows non corrigée, signalée en privé à **Microsoft**, permettant aux attaquants d'obtenir des permissions SYSTEM ou administrateur élevées. # BlueHammer : Un Zero-Day Windows Non Corrigé Baptisée **BlueHammer**, la vulnérabilité a été publiée par un chercheur en sécurité mécontent de la manière dont le **Microsoft Security Response Center (MSRC)** a géré le processus de divulgation. Étant donné que le problème de sécurité n'a pas de correctif officiel et qu'il n'y a pas de mise à jour pour le résoudre, la faille est considérée comme un zero-day selon la définition de **Microsoft**. Il est difficile de déterminer ce qui a déclenché la publication publique du code d'exploit. Dans un court message sous l'alias Chaotic Eclipse, le chercheur déclare : "Je n'ai pas bluffé Microsoft, et je recommence." « Contrairement aux fois précédentes, je n'explique pas comment cela fonctionne ; vous tous, génies, pouvez le découvrir. De plus, un grand merci à la direction du MSRC pour avoir rendu cela possible », a ajouté le chercheur. # Divulgation Publique sur GitHub Le 3 avril, Chaotic Eclipse a publié un dépôt GitHub pour l'exploit de la vulnérabilité **BlueHammer** sous l'alias Nightmare-Eclipse, exprimant son incrédulité et sa frustration quant à la manière dont **Microsoft** a décidé de traiter le problème de sécurité. "Je me demande vraiment quelle a été la logique derrière leur décision, comme si vous saviez que cela allait arriver et que vous avez quand même fait ce que vous avez fait ? Sont-ils sérieux ?" Le chercheur a également noté que le code de preuve de concept (PoC) contient des bugs qui pourraient l'empêcher de fonctionner de manière fiable. # Analyse Technique de l'Exploit Will Dormann, analyste principal des vulnérabilités chez Tharros (anciennement Analygence), a confirmé à BleepingComputer que l'exploit **BlueHammer** fonctionne, déclarant que la faille est une escalade de privilèges locale (LPE) qui combine une vulnérabilité TOCTOU (time-of-check to time-of-use) et une confusion de chemin. Il a expliqué que le problème n'est pas facile à exploiter et qu'il donne à un attaquant local l'accès à la base de données du Security Account Manager (SAM), qui contient les hachages de mots de passe des comptes locaux. Avec cet accès, les attaquants peuvent escalader vers des privilèges SYSTEM et potentiellement obtenir un contrôle total de la machine. « À ce stade, [les attaquants] possèdent essentiellement le système et peuvent faire des choses comme lancer un shell avec des privilèges SYSTEM », a déclaré Dormann à BleepingComputer.  Certains chercheurs testant l'exploit ont confirmé que le code n'a pas fonctionné sur Windows Server, confirmant la déclaration de Chaotic Eclipse selon laquelle il existe des bugs qui pourraient l'empêcher de fonctionner correctement. Will Dormann a ajouté que sur la plateforme Serveur, l'exploit **BlueHammer** augmente les permissions de non-administrateur à administrateur élevé, une protection qui nécessite que l'utilisateur autorise temporairement une opération nécessitant un accès complet au système. # Processus de Signalement de Vulnérabilités du MSRC Bien que la raison de la divulgation par Chaotic Eclipse/Nightmare-Eclipse reste incertaine, Dormann note qu'une exigence du **MSRC** lors de la soumission d'une vulnérabilité est de fournir une vidéo de l'exploit. Bien que cela puisse aider **Microsoft** à trier plus facilement les vulnérabilités signalées, cela ajoute à l'effort de soumission d'un rapport valide. # Atténuation et Risque Bien que **BlueHammer** nécessite qu'un attaquant local l'exploite, le risque qu'il présente reste significatif, car les pirates peuvent obtenir un accès local via divers vecteurs, y compris l'ingénierie sociale, l'exploitation d'autres vulnérabilités logicielles, ou via des attaques basées sur les identifiants. BleepingComputer a contacté **Microsoft** pour obtenir un commentaire sur la faille **BlueHammer**, et un porte-parole nous a envoyé la déclaration ci-dessous : « Microsoft s'engage auprès de ses clients à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils impactés pour protéger les clients dès que possible. Nous soutenons également la divulgation coordonnée des vulnérabilités, une pratique largement adoptée dans l'industrie qui contribue à garantir que les problèmes sont soigneusement étudiés et résolus avant la divulgation publique, soutenant ainsi la protection des clients et la communauté de recherche en sécurité. » – un porte-parole de Microsoft *Article mis à jour le 07/04 pour ajouter le commentaire de Microsoft*