BlueHammer: Публичен zero-day експлойт за Windows

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Нова критична уязвимост в Microsoft Windows, известна като BlueHammer, привлече вниманието на експертите по киберсигурност, след като публичен exploit код беше публикуван в интернет.

Проблемът е класифициран като zero-day, тъй като към момента няма наличен официален patch от Microsoft.

Конфликт с MSRC и публично разкриване

Уязвимостта е била първоначално докладвана частно до Microsoft Security Response Center (MSRC).

Въпреки това, изследователят, известен под псевдонима Chaotic Eclipse, публикува exploit кода в GitHub, изразявайки недоволство от начина, по който Microsoft е обработила сигнала.

„Не блъфирах Microsoft… и ще го направя отново.“

Това поведение подчертава напрежението, което понякога възниква между изследователи и доставчици при процеса на responsible disclosure.

Как работи атаката

Според анализ на експерти, включително Уил Дорман, BlueHammer представлява локална ескалация на привилегии (LPE), базирана на комбинация от:

  • TOCTOU (time-of-check to time-of-use) уязвимост
  • Path confusion атака

Експлойтът позволява:

  • Достъп до Security Account Manager (SAM)
  • Извличане на password hash-ове
  • Ескалация до SYSTEM ниво

На практика – пълен контрол върху системата.

Ограничения и реална заплаха

Въпреки сериозността, има някои ограничения:

  • Изисква локален достъп до машината
  • PoC кодът съдържа бъгове и не винаги работи надеждно
  • При Windows Server може да осигури само повишени администраторски права (не директно SYSTEM)

Въпреки това рискът остава висок, тъй като локалният достъп може да бъде постигнат чрез:

  • Социално инженерство
  • Кражба на идентификационни данни
  • Комбинация с други уязвимости

Какво означава това за организациите

Появата на публичен exploit без наличен patch създава класически window of exposure:

  • Нападателите могат да използват кода веднага
  • Защитата разчита на компенсиращи мерки
  • Няма официално решение от производителя

Препоръчителни мерки

Докато няма официален patch, организациите трябва да:

  • Ограничат локалния достъп и правата на потребителите
  • Прилагат принципа least privilege
  • Засилят мониторинга за подозрителни локални активности
  • Използват EDR/XDR решения за откриване на аномалии
  • Следят за необичайни достъпи до SAM

BlueHammer показва един от най-опасните сценарии в киберсигурността:

Публичен exploit + липса на patch = максимален риск

Случаят подчертава и друг важен аспект – необходимостта от ефективна комуникация между изследователи и доставчици, за да се избегнат подобни ситуации.

#BlueHammer, # MSRC, # privilege escalation, # Windows zero-day, # киберсигурност
e-security.bg

Подобни

Критична zero-day уязвимост в Gogs излага частни репозитории
9.06.2026
cybersecurity2
Верига от три уязвимости позволява пълен контрол над Ubiquiti UniFi OS
9.06.2026
ai-generated-9296016_640
Критична уязвимост в Check Point VPN е използвана
9.06.2026
checkpoint-logo-transparan-1024x969
Критична уязвимост в Everest Forms Pro
8.06.2026
cyber-4444450_640
CISA предупреждава за активна експлоатация на уязвимост в SolarWinds Serv-U
8.06.2026
cisa
Cisco c активно експлоатирана 0-day уязвимост в Catalyst SD-WAN Manager
8.06.2026
cisco

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy