Cybersecurity-verdedigers racen momenteel om organisaties te beschermen terwijl hackers beveiligingsfouten beginnen te bewapenen die zijn gepubliceerd door een ontevreden onderzoeker. Volgens het cyberbeveiligingsbedrijf Huntress is er al inbreuk gemaakt op ten minste één organisatie met behulp van kwetsbaarheden die publiekelijk zijn vrijgegeven in plaats van eerst te zijn gepatcht.
De kwetsbaarheden: BlueHammer, UnDefend en RedSun
De recente golf van aanvallen concentreert zich op drie specifieke Windows-beveiligingsfouten die door onderzoekers zijn geïdentificeerd als BlueHammer, UnDefend en RedSun. Alle drie de kwetsbaarheden zijn gericht op Windows Defender, de ingebouwde antivirussoftware van Microsoft.
Door misbruik te maken van deze gebreken kunnen aanvallers beveiligingsmaatregelen omzeilen en zo toegang op beheerdersniveau krijgen tot geïnfecteerde computers, waardoor ze volledige controle krijgen over het getroffen systeem.
De huidige status van deze gebreken is als volgt:
– BlueHammer: Microsoft heeft eerder deze week een patch voor dit beveiligingslek uitgebracht.
– UnDefend en RedSun: Deze blijven ongepatcht, waardoor systemen kwetsbaar zijn voor onmiddellijke exploitatie.
De bron: een analyse van verantwoorde openbaarmaking
De wortel van deze crisis ligt in het mislukken van het traditionele proces van ‘gecoördineerde openbaarmaking van kwetsbaarheden’. Normaal gesproken melden beveiligingsonderzoekers fouten privé aan softwareleveranciers zoals Microsoft. Hierdoor heeft de leverancier de tijd om een oplossing te ontwikkelen voordat de details openbaar worden gemaakt, een proces dat is ontworpen om gebruikers te beschermen.
Een onderzoeker die bekend staat als Chaotic Eclipse heeft deze conventie echter omzeild door middel van wat bekend staat als “volledige openbaarmaking”. Na een schijnbaar conflict met Microsoft publiceerde de onderzoeker exploitcode voor alle drie de kwetsbaarheden op GitHub.
“Ik was Microsoft niet aan het bluffen en ik doe het opnieuw”, schreef de onderzoeker, waarmee hij suggereerde dat de publieke release een reactie was op de spanningen met het Security Response Center (MSRC) van Microsoft.
Hoewel Microsoft zijn steun heeft uitgesproken voor gecoördineerde openbaarmaking om de bescherming van klanten te garanderen, hebben de acties van Chaotic Eclipse in feite “kant-en-klare aanvallertools” aan cybercriminelen overhandigd.
Het “touwtrekken” tussen verdedigers en hackers
Dit incident benadrukt een gevaarlijke trend in het cyberbeveiligingslandschap: de snelle bewapening van openbaar onderzoek. Wanneer ‘proof-of-concept’-code online wordt gepubliceerd voordat er een patch beschikbaar is, openen zich onmiddellijk de kansen voor hackers.
John Hammond, een onderzoeker bij Huntress, beschrijft deze dynamiek als een “touwtrekwedstrijd.”**
- De tegenstanders: Cybercriminelen kunnen bestaande code downloaden en onmiddellijk aanvallen lanceren zonder de fout zelf te hoeven ontdekken.
- De verdedigers: Beveiligingsteams worden gedwongen tot een hectische race om getroffen systemen te identificeren en oplossingen te implementeren voordat de schade is aangericht.
Deze cyclus creëert een periode van extreem risico waarin de snelheid van de exploitatie vaak groter is dan de snelheid van de patchcycli van bedrijven.
Conclusie
De exploitatie van deze Windows-kwetsbaarheden onderstreept de volatiliteit van het ‘full-disclosure’-model, waarbij het publiekelijk vrijgeven van exploitcode een geschil over beveiligingsonderzoek verandert in een onmiddellijke, wijdverspreide bedreiging voor organisatiegegevens.
