一个普通用户账户,5秒内拿到Windows最高权限。这不是电影场景,是昨天GitHub上真实发生的「BlueHammer」漏洞演示。安全研究员Chaotic Eclipse把完整攻击代码扔到了公开仓库,而微软到现在还没补丁。
「我们被要求拍视频证明漏洞存在」
Chaotic Eclipse在披露文档里写得直白:向微软安全响应中心(MSRC)提交漏洞后,对方要求提供视频演示作为证据。这种要求在安全社区里属于异类——通常PoC代码加文字说明足够,视频更像是故意设置的门槛。
Will Dormann确认了漏洞有效性。这位资深漏洞研究员指出,微软自己的流程「直接导致了这次不协调披露」。换句话说,一个本该走正规渠道修复的0day,因为沟通破裂变成了公共武器。
漏洞本身足够致命。低权限本地用户通过BlueHammer可提权至NT AUTHORITY\SYSTEM——这是Windows系统的终极权限,比管理员更高。披露截图显示,C:\Users\limited\Downloads路径下的受限账户,执行后whoami返回nt authority\system。
攻击附带的功能更麻烦:NTLM密码哈希提取、本地账户凭证收割、管理员权限确认。受测系统是Windows 11 Build 10.0.26200.8037,属于现代完全更新的安装版本。这意味着打满补丁的机器照样中招。
「有经验的人被裁了,剩下的人只会查流程图」
Chaotic Eclipse把矛头指向MSRC的人员变动。文档里写得毒:微软近年裁掉了有经验的安全人员,换成只会按刚性流程图办事的员工。这不是个别抱怨——过去两年,多位离开MSRC的工程师在社交媒体上提过类似观察。
视频要求可能是压垮骆驼的最后一根稻草。研究员认为这属于「故意的摩擦点」,最终导致案件被关闭或无限期搁置。当正规渠道变成死胡同,公开披露成了唯一的施压手段。
这种「full drop」式披露正在变多。研究者感到报告被忽视或 mishandle 时,直接把0day扔给全世界,强迫厂商立即行动。代价是用户在补丁出炉前完全暴露——这次Windows 11用户就处于这种状态。
Chaotic Eclipse承认漏洞并非100%稳定,但「足够好用」。这对勒索软件团伙和APT组织来说根本不是障碍——他们有能力把半成品漏洞打磨成成熟武器。LPE(本地权限提升)漏洞在攻击链里通常是关键一环:先通过钓鱼或漏洞拿到普通用户权限,再用提权漏洞突破沙箱、绕过防护。
一个被反复验证的恶性循环
微软安全响应机制的困境有迹可循。2023年MSRC前负责人离职后,团队经历了多轮重组。外部研究者普遍反映沟通周期拉长、技术判断质量下滑。以前能和工程师直接讨论漏洞细节,现在更多是对接流程管理员。
BlueHammer的披露模式似曾相识。2021年Exchange服务器漏洞、2022年Follina漏洞,都有过研究者因沟通不畅而提前公开的案例。区别在于这次研究者把内部摩擦细节也摊了出来——视频要求、案件关闭、人员裁撤——让矛盾更具象。
对企业IT管理员来说,现状棘手。没有补丁,只能依赖缓解措施:限制本地用户权限、监控异常SYSTEM级进程、收紧端点防护策略。但这些都无法根除风险,只是降低被盯上的概率。
Chaotic Eclipse的GitHub仓库目前仍可访问。代码包含完整的Visual Studio工程文件,编译后直接可用。这种「开箱即用」的0day在地下市场有价值,但研究者选择了免费公开——报复性披露的意图明显。
微软尚未对披露细节作出回应。按惯例,MSRC可能会在未来几天内发布安全公告,承认漏洞并给出临时缓解方案。补丁时间表则取决于漏洞修复复杂度,以及——按研究者的暗示——流程图审批速度。
漏洞披露伦理的争论还在继续。协调披露派认为公开0day不负责任;研究者权益派则认为厂商拖延才是真正的风险。BlueHammer案例的特殊之处在于:它把「厂商流程失效」本身变成了公开证据的一部分。
Chaotic Eclipse在文档末尾留了一句:「PoC在这里,漏洞还没修。」没有总结,没有建议,只有事实陈述。这种克制本身也是一种态度——当沟通渠道堵塞,代码就是最直白的语言。
你的Windows 11设备今天更新了吗?如果还没,现在检查更新按钮的样子,和昨天相比有什么不一样?
热门跟贴