Cybersicherheitsverteidiger liefern sich derzeit einen Wettlauf um den Schutz von Organisationen, während Hacker beginnen, Sicherheitslücken, die von einem verärgerten Forscher veröffentlicht wurden, als Waffe auszunutzen. Nach Angaben des Cybersicherheitsunternehmens Huntress wurde bei mindestens einer Organisation bereits Sicherheitslücken festgestellt, bei denen Sicherheitslücken öffentlich bekannt gegeben und nicht zuerst gepatcht wurden.
Die Schwachstellen: BlueHammer, UnDefend und RedSun
Die jüngste Angriffswelle konzentriert sich auf drei spezifische Windows-Sicherheitslücken, die von Forschern als BlueHammer, UnDefend und RedSun identifiziert wurden. Alle drei Schwachstellen zielen auf Windows Defender ab, die integrierte Antivirensoftware von Microsoft.
Durch die Ausnutzung dieser Schwachstellen können Angreifer Sicherheitsmaßnahmen umgehen, um sich Zugriff auf Administratorebene auf infizierte Computer zu verschaffen und so die vollständige Kontrolle über das betroffene System zu erlangen.
Der aktuelle Status dieser Mängel ist wie folgt:
– BlueHammer: Microsoft hat Anfang dieser Woche einen Patch für diese Sicherheitslücke veröffentlicht.
– UnDefend & RedSun: Diese bleiben ungepatcht und machen Systeme anfällig für sofortige Ausnutzung.
Die Quelle: Eine Aufschlüsselung der verantwortungsvollen Offenlegung
Die Ursache dieser Krise liegt in einem Zusammenbruch des traditionellen Prozesses der „koordinierten Offenlegung von Schwachstellen“. Typischerweise melden Sicherheitsforscher Software-Anbietern wie Microsoft privat Schwachstellen. Dadurch hat der Anbieter Zeit, einen Fix zu entwickeln, bevor die Details veröffentlicht werden. Dieser Prozess dient dem Schutz der Benutzer.
Allerdings hat ein Forscher namens „Chaotic Eclipse“ diese Konvention durch die sogenannte „vollständige Offenlegung“ umgangen. Nach einem offensichtlichen Konflikt mit Microsoft veröffentlichte der Forscher Exploit-Code für alle drei Schwachstellen auf GitHub.
„Ich habe Microsoft nicht geblufft und tue es wieder“, schrieb der Forscher und deutete an, dass die öffentliche Veröffentlichung eine Reaktion auf Spannungen mit dem Security Response Center (MSRC) von Microsoft war.
Während Microsoft seine Unterstützung für eine koordinierte Offenlegung bekundet hat, um den Schutz der Kunden zu gewährleisten, haben die Aktionen von Chaotic Eclipse den Cyberkriminellen faktisch „fertige Angreifer-Tools“ in die Hand gegeben.
Das „Tauziehen“ zwischen Verteidigern und Hackern
Dieser Vorfall verdeutlicht einen gefährlichen Trend in der Cybersicherheitslandschaft: die rasche Nutzung öffentlicher Forschung als Waffe. Wenn „Proof-of-Concept“-Code online veröffentlicht wird, bevor ein Patch verfügbar ist, öffnet sich für Hacker sofort ein Zeitfenster.
John Hammond, ein Forscher bei Huntress, beschreibt diese Dynamik als ein „Tauziehen“ mit hohen Einsätzen.
- Die Gegner: Cyberkriminelle können vorhandenen Code herunterladen und sofort Angriffe starten, ohne den Fehler selbst entdecken zu müssen.
- Die Verteidiger: Sicherheitsteams sind in einen hektischen Wettlauf gezwungen, um betroffene Systeme zu identifizieren und Problemumgehungen zu implementieren, bevor der Schaden entsteht.
Dieser Zyklus führt zu einer Zeit extremen Risikos, in der die Geschwindigkeit der Ausnutzung oft die Geschwindigkeit der Patch-Zyklen des Unternehmens übersteigt.
Schlussfolgerung
Die Ausnutzung dieser Windows-Schwachstellen unterstreicht die Volatilität des „Full Disclosure“-Modells, bei dem die öffentliche Veröffentlichung von Exploit-Code einen Streit um Sicherheitsforschung in eine unmittelbare, weit verbreitete Bedrohung für Unternehmensdaten verwandelt.
