Was genau die Veröffentlichung des Exploit-Codes auslöste, ist unklar. In einem kurzen Beitrag schreibt der Forscher unter dem Pseudonym Chaotic Eclipse: „Ich habe Microsoft gegenüber nicht geblufft, und ich tue es erneut." Weiter heißt es: „Anders als bei früheren Gelegenheiten erkläre ich nicht, wie das funktioniert; ihr Genies könnt das selbst herausfinden. Außerdem vielen Dank an die MSRC-Führung dafür, dass sie das möglich gemacht hat."
Am 3. April veröffentlichte Chaotic Eclipse unter dem Pseudonym Nightmare-Eclipse ein GitHub-Repository mit dem Exploit für die BlueHammer-Schwachstelle und brachte dabei Unverständnis und Frust über Microsofts Umgang mit dem Problem zum Ausdruck: „Ich frage mich wirklich, welche Überlegung hinter ihrer Entscheidung stand – ihr wusstet, dass das passieren würde, und habt trotzdem getan, was ihr getan habt? Meinen die das ernst?" Der Forscher wies zudem darauf hin, dass der Proof-of-Concept-Code Fehler enthält, die einen zuverlässigen Betrieb verhindern könnten.
Will Dormann erläuterte, die Lücke sei nicht leicht auszunutzen und verschaffe einem lokalen Angreifer Zugriff auf die Security-Account-Manager-Datenbank (SAM), die die Passwort-Hashes lokaler Konten enthält. Mit diesem Zugriff lassen sich SYSTEM-Rechte erlangen und möglicherweise die vollständige Kontrolle über das System übernehmen. „An diesem Punkt besitzen die Angreifer das System im Grunde vollständig und können etwa eine Shell mit SYSTEM-Rechten starten", sagte Dormann gegenüber BleepingComputer.
Mehrere Forscher, die den Exploit testeten, bestätigten, dass der Code unter Windows Server nicht erfolgreich war – ein Beleg für die Aussage von Chaotic Eclipse, dass Fehler den ordnungsgemäßen Betrieb verhindern können. Dormann ergänzte, auf der Server-Plattform hebe der Exploit die Berechtigungen von einem Konto ohne Administratorrechte auf erweiterte Administratorrechte an.
Während der Grund für die Offenlegung unklar bleibt, weist Dormann darauf hin, dass das MSRC beim Einreichen einer Schwachstelle unter anderem ein Video des Exploits verlangt. Das könne Microsoft zwar helfen, gemeldete Schwachstellen leichter zu sichten, erhöhe aber den Aufwand für das Einreichen eines gültigen Berichts.
Obwohl BlueHammer einen lokalen Angreifer voraussetzt, bleibt das Risiko erheblich: Lokalen Zugriff können Angreifer über verschiedene Wege erlangen, darunter Social Engineering, das Ausnutzen anderer Software-Schwachstellen oder Angriffe auf Zugangsdaten. BleepingComputer hat Microsoft um eine Stellungnahme gebeten, bis zur Veröffentlichung jedoch keine Antwort erhalten.
