Un investigador de seguridad ha filtrado el código de un exploit de día cero para Windows, denominado “BlueHammer”, que permite a los atacantes obtener permisos de SYSTEM o privilegios de administrador elevados. La noticia ha generado alertas que afectan potencialmente a mil millones de usuarios de Microsoft.
La vulnerabilidad fue publicada por un investigador descontento con la forma en que el Centro de Respuesta de Seguridad de Microsoft (MSRC) gestionó el proceso de divulgación. Bajo los alias “Chaotic Eclipse” y “Nightmare-Eclipse”, el autor publicó el 3 de abril un repositorio en GitHub con el código del exploit, expresando su frustración ante las decisiones de la compañía.
Detalles técnicos de BlueHammer
Según Will Dormann, analista principal de vulnerabilidades en Tharros (anteriormente Analygence), BlueHammer es un fallo de escalada de privilegios locales (LPE). Técnicamente, el exploit combina una vulnerabilidad de tipo TOCTOU (time-of-check to time-of-use) con una confusión de rutas.
Aunque Dormann confirmó que el exploit funciona, señaló que no es sencillo de ejecutar. No obstante, el riesgo es significativo, ya que permite que un atacante local acceda a la base de datos del Administrador de Cuentas de Seguridad (SAM), donde se almacenan los hashes de las contraseñas de las cuentas locales.
Estado actual y disponibilidad de parches
Al momento, Microsoft no ha lanzado un parche oficial ni una actualización para corregir este problema, por lo que se considera una vulnerabilidad de día cero. El investigador que filtró la información, “BlueHammer” Windows zero-day exploit, admitió que el código de prueba de concepto (PoC) contiene errores que podrían impedir que funcione de manera fiable en todos los casos.
