„Ich habe nicht geblufft, Microsoft, und ich tue es erneut", schrieb der Forscher in seinem Blogbeitrag. In einer README-Datei auf GitHub deutete er eine unbefriedigende Interaktion mit Microsofts Security Response Center (MSRC) über die Offenlegung an, ohne Genaueres zu nennen: Er frage sich, „welche Überlegung hinter ihrer Entscheidung stand — ihr wusstet, dass es so kommen würde, und habt es trotzdem getan".

Für Dustin Childs, Leiter der Bedrohungsaufklärung bei der Zero Day Initiative (ZDI) von Trend Micro, kommt die Ungeduld nicht überraschend. Sein Unternehmen habe „in der Vergangenheit ähnliche Frustrationen mit dem MSRC" erlebt. „Ich habe von mehr als einem Forscher gehört, der sagt, er arbeite nicht mehr an Microsoft-Bugs, weil der Offenlegungsprozess zu frustrierend ist", sagte Childs gegenüber Dark Reading. Forscher und Sicherheitsanbieter kritisieren Microsoft seit Jahren für sein Programm zur Schwachstellenoffenlegung und die mangelnde Transparenz bei bestimmten Cloud-Lücken — obwohl der Konzern Offenlegung und Transparenz 2023 zu einem Kernpfeiler seiner Secure Future Initiative (SFI) erklärt hatte.

In einer per E-Mail übermittelten Stellungnahme erklärte Microsoft, man sei verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich zu aktualisieren. Zugleich betonte das Unternehmen seine Unterstützung für eine koordinierte Schwachstellenoffenlegung.

Technisch kombiniert der Zero-Day laut einer Mitteilung des Retail & Hospitality-Information Sharing and Analysis Center (RH-ISAC) eine sogenannte TOCTOU-Race-Condition (time-of-check to time-of-use) mit einer Pfadverwechslung im Signatur-Update-System von Windows Defender. Bei erfolgreicher Ausnutzung kann ein lokaler Nutzer auf die Security-Account-Manager-Datenbank (SAM) zugreifen, Passwort-Hashes auslesen und sich per Pass-the-Hash-Technik Administratorrechte verschaffen — und damit die volle Systemkontrolle.

Childs hält den von Chaotic Eclipse veröffentlichten Proof-of-Concept-Exploit für echt, ist sich aber nicht sicher, „wie ausnutzbar er in der Praxis sein wird". Will Dormann, Schwachstellenanalyst bei Tharros, erklärte auf Mastodon, der Exploit funktioniere auf Desktop-Systemen; andere zitierte Forscher gaben an, er funktioniere derzeit nicht unter Windows Server. Das könne an „Gegenmaßnahmen und Unterschieden auf Serverplattformen" liegen, so Childs, zudem sei der Exploit nicht hundertprozentig zuverlässig. Der Veröffentlicher räumte auf GitHub selbst mögliche Fehler ein, die er später beheben wolle. Laut einem X-Beitrag habe Microsoft den Code aktualisiert, was „die Fehler nicht behoben, die Ausnutzung aber etwas schwerer erkennbar gemacht" habe.

Da Details zur Lücke spärlich bleiben, lässt sie sich kaum absichern, bis Microsoft sie bestätigt und patcht. Der Managed-Security-Anbieter Cyderes warnte in einem Blogbeitrag, ein versierter Angreifer werde die Schwächen des PoC-Exploits wahrscheinlich beheben können; Ransomware-Banden und APT-Gruppen setzten solche Exploits typischerweise „innerhalb weniger Tage nach Veröffentlichung" ein.