I difensori della sicurezza informatica stanno attualmente correndo per proteggere le organizzazioni mentre gli hacker iniziano a sfruttare come armi le falle di sicurezza pubblicate da un ricercatore scontento. Secondo la società di sicurezza informatica Huntress, almeno un’organizzazione è già stata violata utilizzando vulnerabilità che sono state rese pubbliche anziché essere prima riparate.
Le vulnerabilità: BlueHammer, UnDefend e RedSun
La recente ondata di attacchi è incentrata su tre specifiche falle di sicurezza di Windows identificate dai ricercatori come BlueHammer, UnDefend e RedSun. Tutte e tre le vulnerabilità colpiscono Windows Defender, il software antivirus integrato di Microsoft.
Sfruttando queste falle, gli aggressori possono aggirare le misure di sicurezza per ottenere l’accesso a livello di amministratore ai computer infetti, dando loro il controllo totale sul sistema interessato.
Lo stato attuale di questi difetti è il seguente:
– BlueHammer: Microsoft ha rilasciato una patch per questa vulnerabilità all’inizio di questa settimana.
– UnDefend e RedSun: rimangono senza patch, lasciando i sistemi vulnerabili allo sfruttamento immediato.
La fonte: un’analisi della divulgazione responsabile
La radice di questa crisi risiede nella rottura del tradizionale processo di “divulgazione coordinata delle vulnerabilità”. In genere, i ricercatori sulla sicurezza segnalano privatamente i difetti ai fornitori di software come Microsoft. Ciò concede al fornitore il tempo di sviluppare una soluzione prima che i dettagli vengano resi pubblici, un processo progettato per proteggere gli utenti.
Tuttavia, un ricercatore noto come Chaotic Eclipse ha aggirato questa convenzione attraverso la cosiddetta “divulgazione completa”. A seguito di un apparente conflitto con Microsoft, il ricercatore ha pubblicato il codice di exploit per tutte e tre le vulnerabilità su GitHub.
“Non stavo bluffando con Microsoft e lo sto facendo di nuovo”, ha scritto il ricercatore, suggerendo che il comunicato pubblico fosse una risposta alle tensioni con il Security Response Center (MSRC) di Microsoft.
Mentre Microsoft ha dichiarato il proprio sostegno alla divulgazione coordinata per garantire la protezione dei clienti, le azioni di Chaotic Eclipse hanno effettivamente consegnato “strumenti di attacco già pronti” ai criminali informatici.
Il “tiro alla fune” tra difensori e hacker
Questo incidente evidenzia una tendenza pericolosa nel panorama della sicurezza informatica: la rapida militarizzazione della ricerca pubblica. Quando il codice “proof-of-concept” viene pubblicato online prima che sia disponibile una patch, la finestra di opportunità per gli hacker si apre immediatamente.
John Hammond, ricercatore presso Huntress, descrive questa dinamica come un “tiro alla fune” ad alto rischio.
- Gli avversari: i criminali informatici possono scaricare il codice esistente e lanciare immediatamente attacchi senza dover scoprire da soli il difetto.
- I difensori: i team di sicurezza sono costretti a una corsa frenetica per identificare i sistemi interessati e implementare soluzioni alternative prima che il danno sia fatto.
Questo ciclo crea un periodo di rischio estremo in cui la velocità dello sfruttamento spesso supera la velocità dei cicli di patching aziendali.
Conclusione
Lo sfruttamento di queste vulnerabilità di Windows sottolinea la volatilità del modello di “divulgazione completa”, in cui il rilascio pubblico del codice di exploit trasforma una disputa di ricerca sulla sicurezza in una minaccia immediata e diffusa ai dati aziendali.
