パッチが当たっていないWindowsローカル権限昇格脆弱性のバグはあるものの機能する概念実証(PoC)エクスプロイトであるBlueHammerがGitHubに公開されました。これはChaotic EclipseおよびNightmare Eclipseというハンドル名の人物によるものです。
複数のセキュリティ研究者がエクスプロイト内のバグを修正し、パッチが当たったWindows 10、11、およびWindows Serverシステムで動作するようにしました。現在の課題は、Microsoftが修正を計画しているか、または取り組んでいるかどうかです。
BlueHammer PoC エクスプロイトの実行
バグハンターの投稿は、現在CVE識別子がないBlueHammer脆弱性が最初にMicrosoftに開示されたことを示唆しているようですが、開示プロセスの特定されていない問題により、エクスプロイトを公開することになったようです。
「PoC内には動作を妨げる可能性のある少数のバグがあり、後で修正するかもしれません」とChaotic/Nightmare Eclipseは書きました。
脆弱性分析家のWill Dormannは、公開されたエクスプロイトが「十分にうまく機能する」ことを確認し、Windows Serverでも同様に機能しますが、そのプラットフォームではSYSTEM特権にはつながらず、「単に」管理者権限となると述べました。
CyderesのHowler Cellチームに属するRahul RameshおよびReegun Jayapaulも、提供されたPoC実行ファイルの問題を解決し、正常にテストしました。
「エクスプロイトチェーンの目標は明確です:Microsoft Defenderに新しいボリュームシャドウコピーを作成させ、正確なタイミングでDefenderを一時停止してから、Defenderがクリーンアップする前にそのスナップショットから機密レジストリハイブファイルにアクセスしています」と彼らは説明しました。
これにより、エクスプロイトはローカルアカウントの保存されたNTLMパスワードハッシュを抽出および復号化し、ローカル管理者のパスワードを変更してそのアカウントにログインできます。
その後、エクスプロイトはこのアカウントを使用して管理者のセキュリティトークンを複製し、SYSTEM整合性レベルを割り当て、CreateServiceを使用して悪意のある一時Windowsサービスを作成します。これはPoC実行ファイルを再度実行し、ユーザーの現在のセッションでNT AUTHORITY\\SYSTEMとして実行しているcmd.exeインスタンスを起動します。
「最後に、トラックを隠すために、SamiChangePasswordUserを再度使用して、以前にダンプした元のNTLMパスワードハッシュを復元し、ユーザーの観点からユーザーのパスワードは変更されないままにしています」と彼らは述べています。
どうするか?
CyderesのCyber Fusionチームの上級副社長であるBrian Husseyは、BlueHammerが最も耐久性のあるゼロデイには常にバグが必要でないことを思い出させるものであると指摘しています。
「このエクスプロイトは、設計者が意図しなかった方法で5つの正当なWindows機能をチェーン化することにより、Microsoft Defenderの独自の更新ワークフローを認証情報盗難メカニズムに変えます」と彼はHelp Net Securityに述べ、エクスプロイトがリリースされた以来Microsoftが配信したDefender署名は元のエクスプロイトバイナリのみをキャッチすることを追加しました。
「基本的な再コンパイルはそれを回避し、基本となるゼロデイ技術は完全に検出されないままです。実際のパッチが到着するまで、セキュリティチームは行動的な特徴を探す必要があります:ユーザー空間プロセスからのボリュームシャドウコピー列挙、予期しないクラウドファイルシンク根レジストレーション、および低権限アカウントが突然Windowsサービスを起動しています」と彼は勧告しました。
RameshおよびJayapaulはまた、ローカル管理者アカウントの予期しないパスワード変更の後に急速な復元が続くことを監視し、最小権限を積極的に実施するよう組織に勧告しました。
「BlueHammerは実行するためにローカルアクセスが必要です。攻撃チェーンは標準ユーザーコンテキストから開始されるため、危険にさらされたユーザーアカウントが対話できることを制限します。特にクラウドファイルAPIおよびVSSインターフェースは、攻撃表面を大幅に削減します」と彼らは指摘しました。
現在のところ、BlueHammerが攻撃者によって悪用されているという公開レポートはありませんが、研究者が指摘したように「ランサムウェアオペレーターおよびAPTグループは定期的に公開LPE PoC コードをリリース後数日以内に武器化する」ため、攻撃がすでに進行中である可能性があり、レーダーの下で飛び続けています。
ここでの唯一の良いニュースは、エクスプロイトが認証されていない攻撃者によって活用することはできないということですが、機知に富んだ攻撃者は認証情報の盗難、ソーシャルエンジニアリングなどを使用して、その障害を乗り越える方法を見つけることができます(そしてしばしばそうします)。
この状況についてMicrosoftにコメントを求めており、返信があれば本記事を更新します。
最新の侵害、脆弱性、サイバーセキュリティ脅威を見落とさないように、当社の重大なニュースメールアラートに登録してください!
翻訳元: https://www.helpnetsecurity.com/2026/04/08/bluehammer-windows-zero-day-exploit-leaked/
