Los defensores de la ciberseguridad actualmente se apresuran a proteger a las organizaciones a medida que los piratas informáticos comienzan a convertir en armas los fallos de seguridad publicados por un investigador descontento. Según la firma de ciberseguridad Huntress, al menos una organización ya ha sido atacada utilizando vulnerabilidades que se publicaron públicamente en lugar de parchearse primero.
Las vulnerabilidades: BlueHammer, UnDefend y RedSun
La reciente ola de ataques se centra en tres fallas de seguridad específicas de Windows identificadas por los investigadores como BlueHammer, UnDefend y RedSun. Las tres vulnerabilidades apuntan a Windows Defender, el software antivirus integrado de Microsoft.
Al explotar estas fallas, los atacantes pueden eludir las medidas de seguridad para obtener acceso a nivel de administrador a las computadoras infectadas, lo que les otorga control total sobre el sistema afectado.
El estado actual de estas fallas es el siguiente:
– BlueHammer: Microsoft lanzó un parche para esta vulnerabilidad a principios de esta semana.
– UnDefend y RedSun: Estos permanecen sin parches, lo que deja los sistemas vulnerables a una explotación inmediata.
La fuente: un colapso en la divulgación responsable
La raíz de esta crisis radica en una ruptura del proceso tradicional de “revelación coordinada de vulnerabilidades”. Normalmente, los investigadores de seguridad informan de las fallas a proveedores de software como Microsoft de forma privada. Esto le da tiempo al proveedor para desarrollar una solución antes de que los detalles se hagan públicos, un proceso diseñado para proteger a los usuarios.
Sin embargo, un investigador conocido como Chaotic Eclipse ha saltado esta convención a través de lo que se conoce como “divulgación completa”. Después de un aparente conflicto con Microsoft, el investigador publicó un código de explotación para las tres vulnerabilidades en GitHub.
“No estaba engañando a Microsoft y lo estoy haciendo de nuevo”, escribió el investigador, sugiriendo que la publicación pública fue una respuesta a las tensiones con el Centro de Respuesta de Seguridad (MSRC) de Microsoft.
Si bien Microsoft ha manifestado su apoyo a la divulgación coordinada para garantizar la protección del cliente, las acciones de Chaotic Eclipse han entregado efectivamente “herramientas de ataque listas para usar” a los ciberdelincuentes.
El “tira y afloja” entre defensores y piratas informáticos
Este incidente pone de relieve una tendencia peligrosa en el panorama de la ciberseguridad: la rápida militarización de la investigación pública. Cuando el código de “prueba de concepto” se publica en línea antes de que esté disponible un parche, la ventana de oportunidad para los piratas informáticos se abre instantáneamente.
John Hammond, investigador de Huntress, describe esta dinámica como un “tira y afloja” de alto riesgo.
- Los adversarios: Los ciberdelincuentes pueden descargar el código existente y lanzar ataques inmediatamente sin necesidad de descubrir la falla por sí mismos.
- Los defensores: Los equipos de seguridad se ven obligados a una carrera frenética para identificar los sistemas afectados e implementar soluciones antes de que se produzca el daño.
Este ciclo crea un período de riesgo extremo donde la velocidad de explotación a menudo supera la velocidad de los ciclos de parches corporativos.
Conclusión
La explotación de estas vulnerabilidades de Windows subraya la volatilidad del modelo de “divulgación total”, donde la publicación pública del código de explotación convierte una disputa de investigación de seguridad en una amenaza inmediata y generalizada para los datos de la organización.
