Pesquisador Insatisfeito Publica Código de Exploit BlueHammer para Windows no GitHub
Um pesquisador de segurança frustrado com o tratamento da Microsoft de um bug report publicou um exploit funcional para uma vulnerabilidade zero-day no Windows. O exploit, chamado BlueHammer, permite escalada de privilégios local.
MundiX News·14 de abril de 2026·5 min de leitura·👁 2 views
Um exploit para uma vulnerabilidade não corrigida no Windows, que permite a escalada de privilégios local para o nível SYSTEM ou administrador, foi disponibilizado publicamente. O exploit, chamado BlueHammer, foi publicado no GitHub por um pesquisador de segurança da informação insatisfeito com a forma como os especialistas do Microsoft Security Response Center (MSRC) lidaram com seu relatório sobre o problema.
Atualmente, não há patch para este problema, o que o classifica como uma vulnerabilidade zero-day de acordo com a própria Microsoft. A motivação exata do pesquisador, que se esconde sob o pseudônimo Chaotic Eclipse, para publicar o exploit não é totalmente clara. Em uma breve publicação, ele declarou: "Eu não estava blefando, Microsoft, e estou fazendo isso de novo." Ele também agradeceu sarcasticamente à liderança do MSRC e acrescentou que, ao contrário de vezes anteriores, não pretende explicar como o problema funciona: "Vocês, gênios, vão descobrir sozinhos."
No início de abril, Chaotic Eclipse carregou um repositório com o exploit no GitHub sob o nome Nightmare-Eclipse, expressando sua irritação com as ações da Microsoft. O pesquisador alertou imediatamente que o código PoC (Proof of Concept) continha bugs que poderiam tornar o exploit instável. "Eu só estou curioso sobre a lógica por trás da decisão deles. Vocês sabiam que isso ia acontecer e ainda fizeram o que fizeram. Eles estão falando sério?", escreveu ele.
Will Dormann, um renomado especialista em segurança e analista de vulnerabilidades da Tharros (anteriormente Analygence), confirmou ao Bleeping Computer que o exploit realmente funciona. Segundo ele, BlueHammer é uma escalada de privilégios local (LPE) baseada em TOCTOU (time-of-check to time-of-use) e confusão de caminho (path confusion). O especialista informou que explorar a vulnerabilidade não é fácil, mas, se bem-sucedido, o invasor obtém acesso ao banco de dados Security Account Manager (SAM), onde os hashes de senhas das contas locais são armazenados. A partir daí, é possível escalar para o nível SYSTEM e comprometer completamente a máquina alvo.
Outros pesquisadores que testaram o exploit confirmaram as alegações do autor sobre os bugs: no Windows Server, o código não funcionou como esperado. Dormann esclareceu que, na plataforma de servidor, o BlueHammer eleva os privilégios não para o nível SYSTEM, mas do nível de usuário comum para um administrador com privilégios elevados (ou seja, ignora o mecanismo que normalmente exige que o usuário confirme manualmente uma operação que solicita acesso total). Dormann também observou que, ao enviar um relatório de vulnerabilidade, o MSRC exige a inclusão de um vídeo demonstrando o exploit. Por um lado, isso ajuda a Microsoft a analisar os relatórios recebidos mais rapidamente. Por outro lado, complica significativamente o processo de envio, o que pode ter sido uma das razões para a irritação do pesquisador. Dormann já havia criticado a Microsoft por essa decisão.
Um representante da Microsoft disse aos jornalistas que a empresa está investigando relatos de problemas de segurança e lançando atualizações "o mais rápido possível", e também lembrou seu compromisso com o princípio da divulgação coordenada de vulnerabilidades, em que os detalhes dos bugs são publicados somente após o lançamento das correções. A divulgação pública de exploits zero-day como o BlueHammer representa um risco significativo, pois permite que atacantes maliciosos desenvolvam payloads e conduzam ataques antes que os usuários tenham a chance de se proteger.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um exploit para uma vulnerabilidade não corrigida no Windows, que permite a escalada de privilégios local para o nível SYSTEM ou administrador, foi disponibilizado publicamente. O exploit, chamado BlueHammer, foi publicado no GitHub por um pesquisador de segurança da informação insatisfeito com a forma como os especialistas do Microsoft Security Response Center (MSRC) lidaram com seu relatório sobre o problema.
Atualmente, não há patch para este problema, o que o classifica como uma vulnerabilidade zero-day de acordo com a própria Microsoft. A motivação exata do pesquisador, que se esconde sob o pseudônimo Chaotic Eclipse, para publicar o exploit não é totalmente clara. Em uma breve publicação, ele declarou: "Eu não estava blefando, Microsoft, e estou fazendo isso de novo." Ele também agradeceu sarcasticamente à liderança do MSRC e acrescentou que, ao contrário de vezes anteriores, não pretende explicar como o problema funciona: "Vocês, gênios, vão descobrir sozinhos."
No início de abril, Chaotic Eclipse carregou um repositório com o exploit no GitHub sob o nome Nightmare-Eclipse, expressando sua irritação com as ações da Microsoft. O pesquisador alertou imediatamente que o código PoC (Proof of Concept) continha bugs que poderiam tornar o exploit instável. "Eu só estou curioso sobre a lógica por trás da decisão deles. Vocês sabiam que isso ia acontecer e ainda fizeram o que fizeram. Eles estão falando sério?", escreveu ele.
Will Dormann, um renomado especialista em segurança e analista de vulnerabilidades da Tharros (anteriormente Analygence), confirmou ao Bleeping Computer que o exploit realmente funciona. Segundo ele, BlueHammer é uma escalada de privilégios local (LPE) baseada em TOCTOU (time-of-check to time-of-use) e confusão de caminho (path confusion). O especialista informou que explorar a vulnerabilidade não é fácil, mas, se bem-sucedido, o invasor obtém acesso ao banco de dados Security Account Manager (SAM), onde os hashes de senhas das contas locais são armazenados. A partir daí, é possível escalar para o nível SYSTEM e comprometer completamente a máquina alvo.
Outros pesquisadores que testaram o exploit confirmaram as alegações do autor sobre os bugs: no Windows Server, o código não funcionou como esperado. Dormann esclareceu que, na plataforma de servidor, o BlueHammer eleva os privilégios não para o nível SYSTEM, mas do nível de usuário comum para um administrador com privilégios elevados (ou seja, ignora o mecanismo que normalmente exige que o usuário confirme manualmente uma operação que solicita acesso total). Dormann também observou que, ao enviar um relatório de vulnerabilidade, o MSRC exige a inclusão de um vídeo demonstrando o exploit. Por um lado, isso ajuda a Microsoft a analisar os relatórios recebidos mais rapidamente. Por outro lado, complica significativamente o processo de envio, o que pode ter sido uma das razões para a irritação do pesquisador. Dormann já havia criticado a Microsoft por essa decisão.
Um representante da Microsoft disse aos jornalistas que a empresa está investigando relatos de problemas de segurança e lançando atualizações "o mais rápido possível", e também lembrou seu compromisso com o princípio da divulgação coordenada de vulnerabilidades, em que os detalhes dos bugs são publicados somente após o lançamento das correções. A divulgação pública de exploits zero-day como o BlueHammer representa um risco significativo, pois permite que atacantes maliciosos desenvolvam payloads e conduzam ataques antes que os usuários tenham a chance de se proteger.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
