Случай, който предизвика сериозен шум в общността по сигурността: изследовател открива уязвимост в Windows, докладва я на Microsoft… и когато компанията не реагира достатъчно бързо, той публикува реален експлойт код. Така уязвимостта, вече призната като zero‑day, се оказва в публичното пространство без налична корекция.
Уязвимостта, наречена BlueHammer, позволява на атакуващите да поемат контрол над цяла Windows система. Според информацията от BleepingComputer тя комбинира TOCTOU слабост (time‑of‑check to time‑of‑use) с неправилно конфигуриран файлов път. Механизмът е класически: системата проверява файл, но преди да го използва, състоянието му се променя. Ако атакуващият улучи точния момент, проверката се обезсмисля.
Какво позволява BlueHammer
Чрез улучването на въпросния прозорец нападател може да заобиколи проверки на достъп, да ескалира привилегии, да прихваща пароли за локални акаунти и в крайна сметка да поеме контрол над системата.
Експлойтът, публикуван от изследователя, съдържа умишлени дефекти, за да не бъде използван директно. Но въпреки това експертите предупреждават, че уязвимостта е реална и опасна, а процесът за пълна експлоатация,макар и сложен, съвсем не е невъзможен.
Microsoft реагира, но твърде късно
Пред BleepingComputer Microsoft заявява, че се ангажира да разследва докладваните проблеми и да защити клиентите възможно най‑бързо. Компанията подчертава, че подкрепя координираното разкриване на уязвимости като стандартна практика, която позволява проблемите да бъдат решени преди публичното им оповестяване.
Тук обаче координация почти не е имало. Изследователят е действал самостоятелно, очевидно разочарован от липсата на своевременна реакция от страна на Microsoft. Резултатът е zero‑day уязвимост с публично достъпен експлойт, това определено е сценарий, който никой не желае нито потребителите, нито Microsoft.
