Araştırmacı, Saldırganların Tam Erişim Sağlamasına İzin Veren Windows Defender 0 Günlük Yararlanma Kodunu Yayınladı

Chaotic Eclipse (@ ChaoticEclipse0) takma adı altında çalışan bir güvenlik araştırmacısı, GitHub'da tam kavram kanıtı (PoC) kaynak koduyla birlikte BlueHammer olarak adlandırılan Windows için çalışan sıfır günlük yerel ayrıcalık yükseltme (LPE) istismarını kamuoyuna açıkladı. Açıklama, istismarın işe yaradığını ve Microsoft'un kendi güvenlik yanıt sürecinin doğrudan bu koordinasyonsuz sürüme neden olabileceğini belirten güvenlik açığı araştırmacısı Will Dormann tarafından doğrulandı. BlueHammer, düşük ayrıcalıklı bir yerel kullanıcının NT YETKİ SİSTEMİNE erişimini bir Windows makinesindeki en yüksek ayrıcalık seviyesine yükseltmesine olanak tanıyan bir Windows sıfır gün LPE istismarıdır. Açıklamanın yanında paylaşılan bir ekran görüntüsü, etkiyi çarpıcı bir şekilde göstermektedir: C:UserslimitedDownloads> 'dan başlatılan bir komut istemi — açıkça kısıtlanmış bir kullanıcı hesabı — saniyeler içinde tam bir SİSTEM kabuğu elde eder ve whoami nt yetkisistemini onaylar. Exploit Demosu (Kaynak: Will Dormann)

Kötüye kullanım çıktısı ayrıca, IsAdmin: TRUE olan bir yönetici kullanıcısı ve SYSTEMShell: OK, Shell: OK ve PasswordRestore: OK onayları da dahil olmak üzere yerel hesaplar için NTLM parola karmalarını görüntüleyen kimlik bilgisi toplama yeteneklerini de ortaya çıkarır. Güvenlik açığı bulunan sistem Windows 11 (Build 10.0.26200.8037) çalıştırıyor, bu da güvenlik açığının modern, tamamen güncellenmiş Windows kurulumlarını etkilediğini gösteriyor. Araştırmacı, Microsoft'un Güvenlik Müdahale Merkezi (MSRC) ile ilgili hayal kırıklığını, koordine edilmemiş kamu açıklamasının arkasındaki birincil motivasyon olarak gösterdi. Chaotic Eclipse'e göre, MSRC'nin kalitesi son yıllarda önemli ölçüde kötüleşti ve düşüşü Microsoft'un deneyimli güvenlik personelini işten çıkarmasına ve onları bilgilendirilmiş muhakeme yapmak yerine katı prosedürel akış şemalarını takip eden personelle değiştirmesine bağladı.