کمیته رکن چهارم – کد بهرهبرداری از یک آسیبپذیری جدید در ویندوز با نام BlueHammer بهصورت عمومی منتشر شده و میتواند به ارتقای دسترسی مهاجم تا سطح SYSTEM یا مدیر منجر شود. این نقص هنوز وصله رسمی دریافت نکرده و گزارشها آن را در رده zero-day قرار دادهاند.
به گزارش کمیته رکن چهارم، BlueHammer یک آسیبپذیری ارتقای سطح دسترسی محلی است که بر پایه ترکیبی از اشکالات TOCTOU و سردرگمی مسیر توصیف شده است. مخزن عمومی مرتبط با این اکسپلویت در GitHub منتشر شده و پژوهشگری با نام مستعار Chaotic Eclipse نیز در یک پست عمومی مسئولیت افشای آن را بر عهده گرفته است.
بر اساس گزارشهای منتشرشده، این نقص برای بهرهبرداری به دسترسی محلی نیاز دارد، اما در صورت موفقیت میتواند مهاجم را به سطح دسترسی بسیار بالا برساند؛ موضوعی که خطر سرقت دادههای حساس، کنترل کامل سیستم و استفاده از دسترسی بهدستآمده در مراحل بعدی حمله را افزایش میدهد. گزارشها همچنین میگویند این اکسپلویت در برخی سناریوها روی Windows Server به SYSTEM نرسیده، اما همچنان امکان ارتقا به Administrator را نشان داده است.
تا زمان تنظیم این خبر، نشانهای از انتشار یک راهنمای امنیتی یا وصله رسمی مایکروسافت برای BlueHammer در منابع عمومی MSRC مشاهده نشده است. در نتیجه، محدودسازی دسترسی محلی، اجرای اصل حداقل سطح دسترسی و پایش رفتارهای مشکوک مرتبط با ارتقای امتیاز از مهمترین اقدامهای کاهنده ریسک به شمار میرود. این جمعبندی بر پایه نبود اعلامیه عمومی قابل مشاهده در کانالهای MSRC و ماهیت محلی این اکسپلویت است.
انتشار عمومی اکسپلویتهای ارتقای دسترسی در ویندوز، بهویژه در شرایطی که هنوز وصله رسمی ارائه نشده، معمولاً نگرانیها درباره سوءاستفاده مهاجمان پس از دسترسی اولیه را افزایش میدهد. در چنین مواردی، این نوع نقصها اغلب بهعنوان حلقه دوم حمله به کار میروند؛ یعنی پس از فیشینگ، اجرای بدافزار یا نفوذ محدود اولیه، برای تصاحب کامل سیستم استفاده میشوند.
منبع: BleepingComputer
