GitHub и GitLab заблокировали и удалили аккаунт исследователя после публикации PoC для продуктов Microsoft

Администрация платформы GitHub заблокировала и удалила учётную запись независимого исследователя под псевдонимом Nightmare-Eclipse. Вскоре её примеру последовали и в GitLab. Санкции ввели после того, как разработчик опубликовал PoC-эксплойты для продуктов, связанных с Microsoft. 

Всего автор представил шесть рабочих PoC, в том числе уязвимостей BlueHammer (уязвимость для повышения локальных привилегий в Windows Defender, которая позволяла злоумышленникам запускать прилагаемый файл FunnyApp.exe или компилировать собственную версию и получать доступ к командной оболочке Windows SYSTEM), RedSun (аналогичная уязвимость, появившаяся сразу после того, как Microsoft устранила первую, также предоставляет привилегии SYSTEM), UnDefend (инструмент для предотвращения сбоев в работе Windows Defender, предназначенный для остановки обновлений баз данных и создания отказоустойчивых систем), YellowKey (эксплойт, который полностью обходит шифрование BitLocker с помощью USB-накопителя), GreenPlasma (уязвимость повышения привилегий, выходящая за рамки Defender и нацеленная на процесс CTFMON, отвечающий за ввод текста и работающий от имени SYSTEM), а также MiniPlasma (ещё один инструмент для повышения привилегий, запускающий SYSTEM-оболочку).

Как отмечают некоторые эксперты, их нельзя в полной мере назвать уязвимостями нулевого дня, так как некоторые основаны на старых или тайно исправленных дефектах системы.

Аналитики компании Barracuda заявляли, что глубина технических знаний автора указывает на его возможное отношение к числу бывших сотрудников Microsoft, поскольку стороннему разработчику может быть крайне сложно обнаружить столь специфические ошибки в архитектуре ядра Windows. Они также отмечают, что исследователь проводил аудит