In den letzten Tagen ist ein Ritus in der Sicherheitsgemeinschaft aufgetreten, wenn der öffentliche Ausbeutungscode für ein Privileg klettern Verwundbarkeit unter Windows erschienen ist, dass bisher kein offizielles Patch hat. Der Fehler, bekannt in technischen Kreisen wie BlueHammer, wurde privat an Microsoft gemeldet, aber der Autor entschied, es öffentlich zu machen, nachdem er seine Frustration mit dem Prozess der Verwaltung der Offenlegung durch das Microsoft Reaktionszentrum ausdrücken.
Die Situation ist kompliziert, weil Microsoft noch keine Korrektur veröffentlicht hat und, nach der eigenen Definition, diese Schwachstelle fällt in die Null-Tage-Kategorie.. Sie können die offizielle Definition in Microsofts Dokumentation zu Zero-Day Schwachstellen sehen: Microsoft: Null-Tage Sicherheitslücken. Gleichzeitig veröffentlichte die Person, die die Untersuchung öffentlich gemacht hat, einen Blog-Post, der auf seine eigene Weise erklärt, seine Abwechslung mit dem Pfad folgte, um das Problem zu melden: Eintrag des Ermittlers.
Technisch gesehen weisen Spezialisten, die das Material - einschließlich renommierter Analysten in der Gemeinschaft - auf BlueHammer hin, der eine Karrierebedingung des Typs Zeit-of-Check zu Zeit-of-Use (TOCTOU) mit einer Verwirrung der Routen kombiniert. Die Operation ermöglicht es einem lokalen Angreifer, auf den Windows-Account-Store (SAM) zuzugreifen, in dem die Hashe von lokalen Passwörtern gehalten werden, und von dort die Privilegien zu klettern, um hochrangige Anmeldeinformationen zu erhalten oder Befehle mit SYSTEM-Privilegien auszuführen.
Um das Szenario zu verstehen, sollte daran erinnert werden, dass TOCTOU eine Familie von Fehlern ist, bei denen das System eine Bedingung validiert und zwischen Verifikation und Verwendung ein externer Schauspieler den Zustand manipuliert, um das Ergebnis zu ändern. Es gibt Ressourcen, die das Konzept klar erklären, zum Beispiel den Einstieg in OWASP bei dieser Art von Angriff: TOCTOU - OWASP. Und wenn Sie über das hinausgehen wollen, was das SAM ist und warum es so empfindlich ist, ist diese allgemeine Referenz nützlich: Security Account Manager - Wikipedia.
Es ist wichtig, zwei Dinge zu nuchen: Erstens ist die veröffentlichte Explosion nicht trivial zu laufen. Analysten wie Will Dormann haben bestätigt, dass die Technik unter bestimmten Bedingungen funktioniert, aber dass es in allen Windows-Editionen nicht unbedingt zuverlässig ist; seine technische Analyse kann in der öffentlichen Veröffentlichung konsultiert werden, wo es zu seinen Tests kommentiert: Kommentar von Will Dormann. Zweitens enthält der vom Forscher veröffentlichte Code Fehler, die es schwierig machen, in einigen Umgebungen zu laufen, und einige Testversuche waren nicht erfolgreich auf Windows-Servern, was darauf hindeutet, dass die Operation von bestimmten Einstellungen und Versionen abhängen kann.
Obwohl diese Sicherheitslücke den lokalen Zugriff erfordert, um sie zu aktivieren, macht sie es nicht harmlos. Ein Angreifer kann lokalen Zugriff durch mehrere Möglichkeiten erhalten: Phishing, die zur Ausführung von schädlichen Code, Ausbeutung von anderen Schwachstellen führt, um eine Feuerstelle oder Diebstahl von Anmeldeinformationen zu erhalten. Also, ein lokales Klettern, das in SYSTEM Privilegien endet, kann schnell zu Total-Maschine-Verpflichtungen und Nebenbewegungen in Unternehmensnetzwerken führen.
Die für die Offenlegung verantwortliche Person erklärte in seiner Mitteilung, dass die Veröffentlichung durch seine Unzufriedenheit mit dem Umgang mit dem Bericht motiviert sei. Er betonte auch, dass der Testcode Fehler darstellt, ein Punkt, dass sie einverstanden, auf andere Forscher hinzuweisen. Microsoft hatte seinerseits am Ende der Nachrichten keine öffentliche Stellungnahme abgegeben, noch hatte es einen Patch verteilt; in diesen Fällen veröffentlicht das Unternehmen normalerweise eine Mitteilung und veröffentlicht Korrekturen über seinen Sicherheitskanal und monatliche Patches, falls erforderlich. Mehr Informationen über die Reaktion von Microsoft und seinen Outreach-Kanal sind auf der MSRC-Website verfügbar: Microsoft Security Response Center.
Was können Organisationen und Benutzer tun, solange es keinen offiziellen Patch gibt? Es gibt keine perfekten Lösungen, aber es gibt Risikominderungsmaßnahmen, die die Exposition begrenzen helfen. Systeme und Anwendungen auf dem neuesten Stand zu halten, die Anzahl der Konten mit lokalen Privilegien zu minimieren, minimale Privilegienprinzipien anzuwenden und Endpunkte (EDR) Erkennungs- und Antwortlösungen zu verwenden, die anormale Verhaltensweisen im Zusammenhang mit SAM-Zugriffs- oder Hebeversuchen identifizieren können, sind umsichtige Schritte. Es ist auch angebracht, die lokalen Konten zu prüfen und zu stärken und die Tätigkeit der Dienstleistungen und Prozesse zu überwachen, die versuchen, kritische Bereiche des Systems zu ändern.
Die öffentliche Offenlegung von Nicht-Patch-Ausbeuten erzeugt immer ein Dilemma: Zum einen drückt es den Hersteller, schnell zu handeln; zum anderen beschleunigt es die Möglichkeit, böswillige Schauspieler anzupassen und die Technik zu massieren.. Deshalb sind verantwortungsvolle Kommunikationen zwischen Forschern und Softwareanbietern entscheidend, obwohl die Spannung zwischen Transparenz und Sicherheit manchmal zu Szenen führt, wie die, die wir mit BlueHammer sehen.
Wenn Sie ein Administrator sind, priorisieren Sie die Bewertung von Systemen, die nicht mit der Kontokontrolle geschützt sind und die Sicherheitstelemetrie überprüfen, um den ausländischen Zugriff auf lokale Anmeldedatenbanken zu erkennen. Wenn Sie ein inländischer oder professioneller Benutzer ohne Management-Rolle sind, vermeiden Sie laufende Software aus unzuverlässigen Quellen heruntergeladen und halten Backup-off-line. Beachten Sie in allen Fällen offizielle Hinweise von Microsoft und seinem Sicherheitsanbieter: Wenn eine Korrektur veröffentlicht wird, wenden Sie sie so schnell wie möglich an.
Um die Berichterstattung und die technischen Teile in Bezug auf diese Veranstaltung zu folgen, können Sie Mittel in Bezug auf Cybersicherheit und Technologie, sowie die offiziellen Microsoft-Kanäle und die Analysen von anerkannten Forschern konsultieren. Zu den nützlichen Quellen für den Ausbau von Informationen gehören die oben erwähnte Microsoft-Website, der Eintrag des Forschers, der die Operation öffentlich gemacht ( Blog des Autors), der Kommentar eines Analyten, der die Explosion getestet hat ( veröffentlicht von Will Dormann) und die spezialisierten Portale, die dem Fall folgen, wie BlepingComputer.
Die endgültige Empfehlung ist klar: Vertrauen in die operative Vorsicht, während ein offizieller Patch ankommt. Diese Arten von Sicherheitslücken erinnern sich daran, dass neben Patches, tiefe Verteidigung und digitale Hygiene unsere besten Werkzeuge bleiben, um zu verhindern, dass ein isoliertes Versagen zu einer großen Lücke wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...