Publiée sur fond de conflit ouvert entre un chercheur et Microsoft, BlueHammer n’aura pas mis longtemps à sortir des dépôts GitHub pour compromettre des machines Windows au cours d’attaques bien réelles.
À force de jouer avec le feu, ce qui devait arriver arriva. Publiée début avril dans un climat déjà très tendu entre son auteur et Microsoft, BlueHammer a quitté le terrain du PoC pour celui des attaques bien réelles. D’après les équipes d’Huntress, la faille serait exploitée depuis le 10 avril, soit quelques jours avant la diffusion de son correctif lors du dernier Patch Tuesday. Plus préoccupant encore, les chercheurs disent aussi avoir repéré RedSun et UnDefend, deux autres PoC divulgués par le même chercheur dans des conditions tout aussi peu responsables.Trois failles divulguées, une même compromission
Pour rappel, BlueHammer et RedSun sont deux failles d’élévation de privilèges locale, la première visant Windows, la seconde Microsoft Defender, tandis qu’UnDefend permet à un utilisateur sans droits administrateur de bloquer les mises à jour des définitions de l’antivirus. Les preuves de concept associées à ces trois failles avaient été publiées sur GitHub par un chercheur répondant aux pseudonymes de Nightmare Eclipse et Chaotic Eclipse, sur fond de conflit ouvert avec Microsoft.
Dans le détail, les équipes d’Huntress disent avoir retrouvé plusieurs artefacts associés à l’exécution de ces outils dans le dossier Images d’un compte à faibles privilèges, mais aussi dans des sous-dossiers du répertoire Téléchargements. Les chercheurs évoquent notamment des exécutables déposés sur la machine, ainsi que des commandes classiques lancées pour faire l’inventaire du système, comme whoami /priv, cmdkey /list ou net group, soit autant d’indices renvoyant à une activité directe de l’attaquant sur le poste, et laissant penser que BlueHammer, RedSun et UnDefend ont bien été mobilisés au cours d’une même compromission.
Si BlueHammer a, depuis, reçu un correctif via le Patch Tuesday d’avril, ce n’est toujours pas le cas de RedSun et d’UnDefend.
Un dérapage prévisibleAu vu du contexte, difficile de se dire surpris. Nightmare Eclipse était remonté comme un coucou, le bras de fer avec Microsoft s’est envenimé, et les divulgations se sont enchaînées les unes après les autres, avec force détails facilitant l’exploitation des failles mises au jour. Plus étrange, en revanche, de retrouver les trois dans la même séquence d’attaque.
Sollicité par BleepingComputer, Microsoft s’est contenté de rappeler ses engagements à enquêter sur les problèmes signalés et son attachement à la divulgation coordonnée. Un principe qui n’a manifestement pas résisté à l’escalade.
merci à CLUBIC
