![](https://expert.com.ua/wp-content/uploads/2025/01/giganet_banner-900x90-2.png")
Світ кібербезпеки сколихнула новина про публічне розкриття вразливості нульового дня (0-day) під назвою BlueHammer. Дослідник під псевдонімом Chaotic Eclipse опублікував деталі та PoC (доказ концепції) на GitHub, оскільки залишився незадоволений тим, як Центр реагування на безпеку Microsoft (MSRC) обробив його приватний звіт.
Це серйозний репутаційний удар для Microsoft, який вкотре піднімає питання про ефективність комунікації техгігантів із незалежними дослідниками. Коли “білі хакери” почуваються ображеними, вони переходять до публічних розкриттів (Full Disclosure), що ставить під загрозу мільйони користувачів.
Що таке BlueHammer і чим вона небезпечна?
Вразливість базується на локальному підвищенні привілеїв (LPE) і використовує складну комбінацію помилок:
-
Умова гонки TOCTOU: Невідповідність між часом перевірки файлу та часом його використання системою.
-
Обфускація шляху: Маніпуляція системними шляхами для обходу захисних механізмів.
Наслідки атаки: У разі успіху хакер може отримати доступ до бази даних SAM (Security Account Manager). Це дозволяє витягти хеші паролів локальних облікових записів і, зрештою, отримати повні права системного адміністратора.
Чи варто панікувати?
Експерти зазначають, що BlueHammer має свої обмеження:
-
Локальний доступ: Зловмисник вже повинен мати доступ до вашого комп’ютера (наприклад, через інше шкідливе ПЗ).
-
Нестабільність: Вразливість не завжди спрацьовує в середовищах Windows Server та на деяких специфічних збірках системи.
Позиція Microsoft
У Редмонді офіційно заявили, що розслідують проблему і випустять патч “якомога швидше”. Також компанія нагадала про важливість програми Coordinated Vulnerability Disclosure (CVD), яка закликає дослідників не розголошувати деталі до виходу виправлення. Проте Chaotic Eclipse назвав процес взаємодії з MSRC «образливим», що і стало тригером для публікації.
Технічне резюме BlueHammer
| Параметр | Значення |
| Назва | BlueHammer |
| Тип | Local Privilege Escalation (LPE) |
| Вектор атаки | TOCTOU + Path Obfuscation |
| Ціль | База даних SAM (паролі) |
| Статус | Патч очікується |
HiTech Expert Take
Для HiTech Expert цей кейс є показовим. Це не просто технічна помилка в коді Windows, а криза менеджменту в Microsoft. Коли незалежні дослідники, які допомагають компанії безкоштовно (або за винагороду Bounty), відчувають зневагу, вони обирають шлях публічного розголосу. Для користувачів це означає одне: вікно можливостей для зловмисників відкрито, поки офіційне оновлення безпеки не буде випущене та встановлене.
