Die Veröffentlichung des BlueHammer-Exploits markiert einen kritischen Moment in der Diskussion über Microsofts Vulnerability-Disclosure-Prozess. Der Forscher hinter dem Pseudonym Chaotic Eclipse veröffentlichte seine Exploit-Code auf GitHub und machte dabei keinen Hehl aus seiner Verärgerung: „Ich habe Microsoft nicht geblufft und mache es erneut”, schrieb er in seinem Blog-Post. In den Notizen zum GitHub-Repository drückte er sein Unverständnis für Microsofts Entscheidungsfindung aus.
Die Sicherheitslücke selbst ist technisch erheblich: Sie kombiniert eine Time-of-Check-to-Time-of-Use (TOCTOU)-Racebedingung mit Pfadverwirrung im Signature-Update-System von Windows Defender. Ein lokaler Benutzer könnte damit auf die Security Account Manager (SAM)-Datenbank zugreifen, Password-Hashes auslesen und anschließend mittels Pass-the-Hash-Technik Administrator-Rechte erlangen – im schlimmsten Fall mit vollständiger Systemkontrolle.
Dustin Childs, Leiter der Threat Awareness bei Trend Micros Zero Day Initiative, bestätigt, dass die Frustration berechtigt ist. Sein Unternehmen habe ähnliche Schwierigkeiten mit dem MSRC gehabt. Noch bedenklicher: Mehrere Forscher hätten ihm bereits mitgeteilt, dass sie nicht mehr an Microsoft-Bugs arbeiten, weil der Disclosure-Prozess zu frustrierend sei.
Dies ist nicht das erste Mal, dass Sicherheitsforscher und Cybersecurity-Anbieter Microsoft kritisieren. Die jahrelange Kritik an Microsofts Vulnerability-Disclosure-Programm und mangelnder Transparanzen bei Cloud-Flaws hat sogar dazu geführt, dass Microsoft 2023 Vulnerability Disclosure und Transparenz als Kernpfeiler seiner Secure Future Initiative (SFI) verankerte. Microsoft betonte darauf hin entsprechende Verbesserungen – doch offensichtlich scheinen diese nicht ausreichend zu sein.
Zum Exploit selbst: Sicherheitsexperten wie Will Dormann von Tharros bestätigen, dass der Proof-of-Concept auf Desktop-Systemen funktioniert, während Berichte von anderen Forschern darauf hindeuten, dass Windows-Server nicht betroffen sind. Childs vermutet, dass es sich dabei um unterschiedliche Mitigationen zwischen Client- und Server-Plattformen handelt. Zudem sei der Exploit nicht 100 Prozent zuverlässig – ein Problem, das der ursprüngliche Forscher selbst eingestanden hat.
Für Unternehmen und Behörden im deutschsprachigen Raum ist die Situation heikel: Solange Microsoft die Lücke nicht offiziel bestätigt und gepatcht hat, fehlen konkrete Mitigationsmaßnahmen. Experten raten derweil zu grundlegenden Sicherheitspraktiken – Mitarbeiterschulung gegen Social Engineering, Monitoring verdächtiger Aktivitäten und erhöhte Wachsamkeit. Sicherheitsanbieter warnen zudem davor, dass erfahrene Bedrohungsakteure die Mängel im Exploit schnell beheben könnten, Ransomware-Banden und APT-Gruppen Exploits typischerweise innerhalb von Tagen nach Veröffentlichung einsetzen würden.