Os defensores da segurança cibernética estão atualmente correndo para proteger as organizações, à medida que os hackers começam a transformar em armas as falhas de segurança publicadas por um pesquisador insatisfeito. De acordo com a empresa de segurança cibernética Huntress, pelo menos uma organização já foi violada usando vulnerabilidades que foram divulgadas publicamente, em vez de serem corrigidas primeiro.
As vulnerabilidades: BlueHammer, UnDefend e RedSun
A recente onda de ataques centra-se em três falhas de segurança específicas do Windows identificadas pelos pesquisadores como BlueHammer, UnDefend e RedSun. Todas as três vulnerabilidades têm como alvo o Windows Defender, o software antivírus integrado da Microsoft.
Ao explorar essas falhas, os invasores podem contornar as medidas de segurança para obter acesso de nível de administrador aos computadores infectados, dando-lhes controle total sobre o sistema afetado.
O status atual dessas falhas é o seguinte:
– BlueHammer: A Microsoft lançou um patch para esta vulnerabilidade no início desta semana.
– UnDefend e RedSun: Eles permanecem sem correção, deixando os sistemas vulneráveis à exploração imediata.
A Fonte: Uma Análise da Divulgação Responsável
A raiz desta crise reside no colapso do processo tradicional de “divulgação coordenada de vulnerabilidades”. Normalmente, os pesquisadores de segurança relatam falhas a fornecedores de software como a Microsoft em particular. Isso permite que o fornecedor tenha tempo para desenvolver uma correção antes que os detalhes sejam divulgados, um processo projetado para proteger os usuários.
No entanto, um pesquisador conhecido como Chaotic Eclipse contornou essa convenção por meio do que é conhecido como “divulgação completa”. Após um aparente conflito com a Microsoft, o pesquisador publicou o código de exploração para todas as três vulnerabilidades no GitHub.
“Eu não estava blefando com a Microsoft e estou fazendo isso de novo”, escreveu o pesquisador, sugerindo que a divulgação pública foi uma resposta às tensões com o Centro de Resposta de Segurança da Microsoft (MSRC).
Embora a Microsoft tenha declarado o seu apoio à divulgação coordenada para garantir a proteção do cliente, as ações do Chaotic Eclipse efetivamente entregaram “ferramentas de ataque prontas” aos cibercriminosos.
O “cabo de guerra” entre defensores e hackers
Este incidente destaca uma tendência perigosa no cenário da segurança cibernética: a rápida transformação da investigação pública em arma. Quando o código de “prova de conceito” é publicado on-line antes que um patch esteja disponível, a janela de oportunidade para os hackers se abre instantaneamente.
John Hammond, pesquisador da Huntress, descreve essa dinâmica como um “cabo de guerra” de alto risco.
- Os Adversários: Os cibercriminosos podem baixar o código existente e lançar ataques imediatamente sem precisar descobrir a falha por conta própria.
- Os Defensores: As equipes de segurança são forçadas a uma corrida frenética para identificar os sistemas afetados e implementar soluções alternativas antes que o dano seja causado.
Este ciclo cria um período de risco extremo em que a velocidade de exploração muitas vezes ultrapassa a velocidade dos ciclos de patches corporativos.
Conclusão
A exploração destas vulnerabilidades do Windows sublinha a volatilidade do modelo de “divulgação total”, onde a divulgação pública do código de exploração transforma uma disputa de investigação de segurança numa ameaça imediata e generalizada aos dados organizacionais.
