Eksperci ds. cyberbezpieczeństwa ścigają się z czasem, aby chronić organizacje, gdy hakerzy zaczynają wykorzystywać luki opublikowane przez niezadowolonego badacza. Według firmy zajmującej się cyberbezpieczeństwem Huntress co najmniej jedna organizacja została już zhakowana przy użyciu luk, które upubliczniono przed wydaniem łat.
Luki w zabezpieczeniach: BlueHammer, UnDefend i RedSun
Najnowsza fala ataków koncentruje się na trzech konkretnych lukach w zabezpieczeniach systemu Windows, które badacze nazwali BlueHammer, UnDefend i RedSun. Wszystkie trzy luki atakują Windows Defender, wbudowane oprogramowanie antywirusowe firmy Microsoft.
Wykorzystując te luki, napastnicy mogą ominąć zabezpieczenia i uzyskać uprawnienia administratora na zainfekowanych komputerach, dając im pełną kontrolę nad zaatakowanym systemem.
Obecny stan tych luk:
– BlueHammer: Na początku tego tygodnia firma Microsoft wydała łatkę usuwającą tę lukę.
– UnDefend i RedSun: Pozostają niezałatane, przez co systemy są podatne na natychmiastowe ataki.
Źródło: Błąd w procesie odpowiedzialnego ujawniania informacji
Źródłem tego kryzysu jest zakłócenie tradycyjnego procesu „skoordynowanego ujawniania luk w zabezpieczeniach”. Zazwyczaj badacze bezpieczeństwa zgłaszają błędy twórcom oprogramowania (takim jak Microsoft) prywatnie. Daje to dostawcy czas na opracowanie poprawki, zanim szczegóły zostaną upublicznione, co jest procesem mającym na celu ochronę użytkowników.
Jednak badacz znany jako Chaotic Eclipse ominął tę zasadę, stosując tak zwane „pełne ujawnienie”. Po wyraźnym konflikcie z Microsoftem badacz opublikował kod exploita dla wszystkich trzech luk w serwisie GitHub.
„Nie oszukałem Microsoftu i zrobię to ponownie” – napisał badacz, dając do zrozumienia, że publiczne udostępnienie było odpowiedzią na napięcia z Microsoft Security Response Center (MSRC).
Chociaż Microsoft oświadczył, że wspiera skoordynowane wykrywanie w celu zapewnienia ochrony klientów, działania Chaotic Eclipse skutecznie zapewniły cyberprzestępcom „gotowy zestaw narzędzi do ataku”.
Przeciąganie liny między obrońcami a hakerami
Incydent uwydatnia niebezpieczny trend w cyberbezpieczeństwie: szybką „militaryzację” badań publicznych. Kiedy kod sprawdzający koncepcję zostanie opublikowany w Internecie przed udostępnieniem łatki, hakerom natychmiast otwiera się szansa.
John Hammond, badacz w Huntress, opisuje tę dynamikę jako przeciąganie liny obarczone dużym ryzykiem.
- Atakujący: Cyberprzestępcy mogą pobrać gotowy kod i natychmiast rozpocząć ataki, nie tracąc czasu na samodzielne szukanie luk.
- Obrońcy: zespoły bezpieczeństwa są zmuszone do szaleńczego pośpiechu, aby zidentyfikować systemy, których dotyczy problem i wdrożyć tymczasowe zabezpieczenia, zanim wyrządzą szkody.
Cykl ten tworzy okres skrajnego ryzyka, w którym tempo wykorzystywania luk często przewyższa tempo cykli aktualizacji oprogramowania dla przedsiębiorstw.
Wniosek
Wykorzystanie tych luk w zabezpieczeniach systemu Windows uwypukla niestabilność modelu „pełnego ujawnienia”, w którym publiczne udostępnienie kodu exploita zamienia spór między badaczem a programistą w bezpośrednie i powszechne zagrożenie dla tych organizacji.
