Fuite publique de l'exploit BlueHammer : zero-day LPE non patché sur Windows

📰 Contexte

Publié le 6 avril 2026 par BleepingComputer, cet article rapporte la divulgation publique non coordonnée d’un exploit zero-day Windows par un chercheur en sécurité opérant sous les alias Chaotic Eclipse et Nightmare-Eclipse, en réaction à la gestion jugée insatisfaisante de son signalement par le Microsoft Security Response Center (MSRC).

🔍 Détails de la vulnérabilité

La vulnérabilité, baptisée BlueHammer, est une élévation de privilèges locale (LPE) sur Windows. Elle combine deux techniques :

• Une race condition de type TOCTOU (Time-Of-Check to Time-Of-Use)
• Une confusion de chemin (path confusion)

L’exploitation donne accès à la base de données Security Account Manager (SAM), contenant les hashes de mots de passe des comptes locaux, permettant une escalade jusqu’aux privilèges SYSTEM et une compromission complète de la machine.

📅 Chronologie

• 3 avril 2026 : Publication du dépôt GitHub contenant le PoC sous l’alias Nightmare-Eclipse
• 6 avril 2026 : Publication de l’article par BleepingComputer
• 7 avril 2026 : Ajout du commentaire officiel de Microsoft

⚠️ Conditions d’exploitation et limites

• L’exploit nécessite un accès local préalable à la machine cible
• Le chercheur lui-même reconnaît que le code PoC contient des bugs pouvant empêcher son fonctionnement fiable
• Des tests ont confirmé que l’exploit ne fonctionne pas de manière fiable sur Windows Server (élévation vers administrateur élevé uniquement, sans atteindre SYSTEM)
• L’exploitation est décrite comme non triviale

🧑‍💻 Validation externe

Will Dormann, analyste principal en vulnérabilités chez Tharros (anciennement Analygence), a confirmé le fonctionnement de l’exploit sur les systèmes Windows clients et précisé les mécanismes techniques impliqués.

🏢 Réponse de Microsoft

Microsoft a indiqué soutenir la divulgation coordonnée des vulnérabilités mais n’a pas fourni de calendrier de correctif. Aucun patch n’est disponible à la date de publication.

📌 Nature de l’article

Article de presse spécialisée relatant une divulgation publique non coordonnée d’un zero-day Windows, avec confirmation technique par un expert tiers et absence de correctif officiel.

🧠 TTPs et IOCs détectés

TTP

• T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
• T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)

Malware / Outils

• BlueHammer (tool) https://github.com/Nightmare-Eclipse/BlueHammer

🟡 Indice de vérification factuelle : 53/100 (moyenne)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 4227 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 2 TTP(s) MITRE (8pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/