В открытом доступе появился рабочий эксплойт, использующий неисправленную критическую уязвимость в операционных системах Microsoft Windows. Программа, получившая название BlueHammer, позволяет злоумышленнику с минимальными правами доступа на компьютере получить полный контроль над системой, вплоть до уровня NT AUTHORITY\\SYSTEM. Особую опасность ситуации придаёт тот факт, что уязвимость затрагивает уже пропатченные версии Windows 10, Windows 11 и Windows Server, а для атаки используются исключительно легитимные функции самой операционной системы. Эта публикация значительно упрощает жизнь киберпреступникам, которые могут быстро адаптировать код для массовых атак.
Описание
Инцидент стал ярким примером того, как сложное взаимодействие штатных компонентов Windows может быть обращено против самой системы. Эксплойт, опубликованный на GitHub пользователями под никами Chaotic Eclipse и Nightmare Eclipse, представляет собой так называемое доказательство концепции (Proof-of-Concept) - рабочий код, демонстрирующий эксплуатацию уязвимости. Технический анализ показывает, что атака построена на цепочке из нескольких этапов. Сначала с помощью Microsoft Defender принудительно создаётся теневая копия тома (Volume Shadow Copy), после чего работа защитника приостанавливается. Из этой копии извлекаются файлы системного реестра, содержащие хэши паролей NTLM. Получив доступ к хэшу администратора, эксплойт меняет пароль учётной записи, дублирует её токен безопасности для получения высочайшего уровня привилегий (SYSTEM) и создаёт вредоносную временную службу. Финал операции - восстановление исходного пароля администратора, что позволяет скрыть следы вмешательства.
Исследователи отмечают, что текущая сигнатура Microsoft Defender для обнаружения этой атаки легко обходится, что делает поведенческий анализ ключевым методом защиты. Организациям следует обратить внимание на мониторинг событий, связанных с перечислением теневых копий процессами из пользовательского пространства, неожиданной регистрацией корневых папок синхронизации Cloud Files, созданием служб Windows учётными записями с низкими привилегиями, а также быстрой сменой и последующим восстановлением паролей администраторов. Поскольку для успешной атаки требуется предварительный локальный доступ к системе, критически важными становятся классические принципы минимальных привилегий и ограничение взаимодействия стандартных учётных записей с API Cloud Files и интерфейсами службы теневого копирования томов (VSS).
Публикация подобного кода практически гарантирует его быстрое оружиевание угрозовыми акторами. Уязвимость может стать инструментом для закрепления в системе после первоначального проникновения, например, через фишинговое письмо, или для горизонтального перемещения внутри корпоративной сети, если злоумышленник получил доступ к рабочей станции рядового сотрудника. Список потенциальных жертв, указанный в контексте угрозы, включает такие секторы, как потребительские товары, гостиничный бизнес, информационные технологии, розничная торговля, транспорт и коммунальные услуги, что подчёркивает широкий потенциал для атак. Основное географическое направление - США.
В сложившейся ситуации системным администраторам и специалистам по информационной безопасности необходимо действовать на опережение, фокусируясь на обнаружении аномальной активности, а не только на сигнатурах. Рекомендуется создать правила корреляции в SIEM-системе (класса программных продуктов для управления событиями ИБ) или EDR-решении, которые будут отслеживать выполнение инструментов для работы с теневой копией непривилегированными пользователями. Также важно настроить оповещения на создание новых служб Windows и регистрацию корней синхронизации Cloud Files из-под стандартных процессов. Особенно показательным индикатором может стать последовательная смена пароля локального администратора с последующим его быстрым восстановлением, что является частью сценария атаки.
В долгосрочной перспективе для нейтрализации подобных угроз необходимы структурные меры. К ним относятся аудит и лишение стандартных учётных записей избыточных прав локального администратора, использование групповых политик для ограничения доступа к инструментам VSS, а также внедрение решений контроля приложений для блокировки выполнения неавторизованного кода. Утечка BlueHammer служит суровым напоминанием о том, что даже актуальные и пропатченные системы не застрахованы от изощрённых атак, использующих логические цепочки легитимных функций. В условиях отсутствия официального заплатки от Microsoft, упор должен быть сделан на детектировании аномального поведения и максимальном ужесточении модели доступа внутри сети.
Индикаторы компрометации
URLs
- https://github.com/Nightmare-Eclipse/BlueHammer
- https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64
MD5
- 5f9ee4e52da38191c3fdf2da567cc903
SHA1
- c885f1e77f08428cc628d9cb86cf4a10c09dd3b1
SHA256
- 6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788
- c6baa5ec9ea2c2802a90acad5a53453d176a02e04a31ac8e9b7b34b5e3329b84
