Mécontent de la façon dont Microsoft a traité sa découverte, un chercheur en sécurité a décidé de publier sur GitHub le code d’exploitation d’une faille de sécurité zero-day affectant Windows. Surnommée BlueHammer, cette faille permet à un attaquant d’obtenir les droits SYSTEM sur une machine compromise. Voici ce que l’on sait.

BlueHammer : une élévation de privilèges en local

La vulnérabilité BlueHammer est ce que l’on appelle une faille de type LPE : Local Privilege Escalation. Elle permet à un attaquant local d’élever ses privilèges en tant que SYSTEM sur une machine Windows, ce qui ouvre la porte à une compromission totale de la machine.

Il y a donc une condition préalable à son exploitation : un accès local à la machine d’un utilisateur. Bien souvent, le pirate obtient ce premier accès avec de faibles privilèges via une campagne de phishing ou suite à l’exécution d’un malware par un utilisateur. C’est là que BlueHammer peut faire la différence afin de passer à l’étape suivante.

Selon les premiers retours, l’exploit permet d’accéder au contenu de la base SAM de Windows. Cette vulnérabilité permettrait à un attaquant d’extraire les hash de mots de passe stockés localement, et surtout, d’obtenir les privilèges SYSTEM (niveau le plus élevé sur Windows) comme je l’évoquais précédemment.

Un code d’exploitation (PoC) a été publié par GitHub par le chercheur à l’origine de cette découverte. Mais il n’est pas exploitable en l’état : il présente quelques bugs qui remettent en cause sa fiabilité. Néanmoins, il permet d’étudier techniquement le fonctionnement de cette vulnérabilité.

D’ailleurs, d’après le chercheur en sécurité Will Dormann, cette faille de sécurité est bien exploitable sur Windows. “Bref, oui, ça marche. Peut-être pas à 100 %, mais ça suffit…”, a-t-il déclaré. Il indique également que cette faille LPE combine deux types de faiblesses : TOCTOU (time-of-check to time-of-use) et path confusion.

Un bras de fer avec le MSRC de Microsoft

Au-delà de l’aspect technique, il faut aussi évoquer le contexte ayant amené à la publication de cette faille de sécurité. L’exploit a été mis en ligne début avril sur GitHub par un chercheur utilisant les pseudonymes “Chaotic Eclipse” ou “Nightmare-Eclipse”.

Il n’a pas apprécié la façon dont le MSRC (Microsoft Security Response Center) a géré la divulgation de la vulnérabilité qu’il a signalée. Le fait de rendre la faille publique avant même la publication d’un correctif ressemble donc à un geste de contestation.

“Je ne bluffais pas avec Microsoft, et je recommence.”, précise-t-il sur son article de blog. Il ajoute également : “Contrairement aux fois précédentes, je n’explique pas comment cela fonctionne ; vous êtes des génies, vous trouverez bien par vous-mêmes. Un grand merci à la direction du MSRC pour avoir rendu cela possible.”

La situation est tendue entre ce chercheur en sécurité et Microsoft. Quoi qu’il en soit, une faille de sécurité zero-day Windows est désormais dans la nature… Attendons de voir si elle sera patchée avec les nouvelles mises à jour prévues pour le mardi 14 avril 2026.

Source