Les défenseurs de la cybersécurité se battent actuellement pour protéger les organisations alors que les pirates informatiques commencent à exploiter les failles de sécurité publiées par un chercheur mécontent. Selon la société de cybersécurité Huntress, au moins une organisation a déjà été piratée en utilisant des vulnérabilités qui ont été rendues publiques plutôt que d’être corrigées au préalable.
Les vulnérabilités : BlueHammer, UnDefend et RedSun
La récente vague d’attaques se concentre sur trois failles de sécurité Windows spécifiques identifiées par les chercheurs comme BlueHammer, UnDefend et RedSun. Les trois vulnérabilités ciblent Windows Defender, le logiciel antivirus intégré de Microsoft.
En exploitant ces failles, les attaquants peuvent contourner les mesures de sécurité pour obtenir un accès de niveau administrateur aux ordinateurs infectés, leur donnant ainsi un contrôle total sur le système affecté.
L’état actuel de ces failles est le suivant :
– BlueHammer : Microsoft a publié un correctif pour cette vulnérabilité plus tôt cette semaine.
– UnDefend & RedSun : Ceux-ci restent non corrigés, laissant les systèmes vulnérables à une exploitation immédiate.
La Source : une rupture dans la divulgation responsable
La racine de cette crise réside dans l’effondrement du processus traditionnel de « divulgation coordonnée des vulnérabilités ». En règle générale, les chercheurs en sécurité signalent les failles aux fournisseurs de logiciels comme Microsoft en privé. Cela laisse au fournisseur le temps de développer un correctif avant que les détails ne soient rendus publics, un processus conçu pour protéger les utilisateurs.
Cependant, un chercheur connu sous le nom de Chaotic Eclipse a contourné cette convention grâce à ce que l’on appelle la “divulgation complète”. À la suite d’un conflit apparent avec Microsoft, le chercheur a publié le code d’exploitation des trois vulnérabilités sur GitHub.
“Je n’ai pas bluffé Microsoft et je recommence”, a écrit le chercheur, suggérant que la publication publique était une réponse aux tensions avec le Security Response Center (MSRC) de Microsoft.
Alors que Microsoft a déclaré son soutien à une divulgation coordonnée pour assurer la protection des clients, les actions de Chaotic Eclipse ont effectivement remis des « outils d’attaque prêts à l’emploi » aux cybercriminels.
Le « tir à la corde » entre défenseurs et hackers
Cet incident met en évidence une tendance dangereuse dans le paysage de la cybersécurité : la militarisation rapide de la recherche publique. Lorsque le code de « preuve de concept » est publié en ligne avant qu’un correctif ne soit disponible, la fenêtre d’opportunité pour les pirates s’ouvre instantanément.
John Hammond, chercheur chez Huntress, décrit cette dynamique comme un ** « tir à la corde » aux enjeux élevés.
- Les adversaires : Les cybercriminels peuvent télécharger le code existant et lancer immédiatement des attaques sans avoir besoin de découvrir eux-mêmes la faille.
- The Defenders : Les équipes de sécurité sont contraintes de se lancer dans une course effrénée pour identifier les systèmes affectés et mettre en œuvre des solutions de contournement avant que les dégâts ne soient causés.
Ce cycle crée une période de risque extrême où la vitesse d’exploitation dépasse souvent la vitesse des cycles de mise à jour des correctifs de l’entreprise.
Conclusion
L’exploitation de ces vulnérabilités Windows souligne la volatilité du modèle de « divulgation complète », dans lequel la publication publique d’un code d’exploitation transforme un différend en matière de recherche sur la sécurité en une menace immédiate et généralisée pour les données de l’organisation.
