Фахівці з кібербезпеки ведуть гонку згодом, намагаючись захистити організації, тоді як хакери починають використовувати вразливості, опубліковані незадоволеним дослідником. За даними компанії Huntress, що спеціалізується на кібербезпеці, як мінімум одна організація вже зазнала злому з використанням уразливостей, які були оприлюднені до того, як для них було випущено виправлення.
Вразливості: BlueHammer, UnDefend та RedSun
Остання хвиля атак зосереджена на трьох специфічних брешах у безпеці Windows, які дослідники назвали BlueHammer, UnDefend і RedSun. Всі три вразливості націлені на Windows Defender – вбудоване антивірусне програмне забезпечення Microsoft.
Використовуючи ці недоліки, зловмисники можуть обходити заходи захисту та отримувати права адміністратора на заражених комп’ютерах, що дає їм повний контроль над порушеною системою.
Поточний статус цих уразливостей:
– BlueHammer: На початку цього тижня Microsoft випустила патч для усунення цієї вразливості.
– UnDefend та RedSun: Залишаються невиправленими, що робить системи вразливими для негайних атак.
Джерело: збій у процесі відповідального розголошення
Корінь цієї кризи полягає у порушенні традиційного процесу «скоординованого розголошення вразливостей». Зазвичай дослідники безпеки повідомляють про помилки розробникам ПЗ (такі як Microsoft) в приватному порядку. Це дає вендору час розробити виправлення до того, як подробиці стануть загальнодоступними — процес, покликаний захистити користувачів.
Однак дослідник, відомий під псевдонімом Chaotic Eclipse, обійшов це правило, застосувавши так зване повне розкриття (full disclosure). Після очевидного конфлікту з Microsoft дослідник опублікував експлойт-код для всіх трьох вразливостей GitHub.
“Я не блефував перед Microsoft, і я зроблю це знову”, – написав дослідник, натякаючи на те, що публічний реліз став відповіддю на напруженість у відносинах з Центром реагування на загрози безпеці Microsoft (MSRC).
Хоча Microsoft заявила про підтримку скоординованого розкриття для забезпечення захисту клієнтів, дії Chaotic Eclipse фактично вручили кіберзлочинцям «готовий інструментарій для атак».
«Перетягування каната» між захисниками та хакерами
Цей інцидент наголошує на небезпечній тенденції у сфері кібербезпеки: стрімку «мілітаризацію» публічних досліджень. Коли код proof-of-concept (підтвердження концепції) публікується в мережі до появи патча, вікно можливостей для хакерів відкривається миттєво.
Джон Хаммонд, дослідник з Huntress, описує цю динаміку як високоризиковане “перетягування каната”.
- Зловмисники: Кіберзлочинці можуть завантажити готовий код і негайно розпочати атаки, не витрачаючи час на самостійний пошук вразливості.
- Захисники: Команди безпеки змушені у гарячковому поспіху виявляти порушені системи та впроваджувати тимчасові заходи захисту, доки не завдано шкоди.
Цей цикл створює період екстремального ризику, коли швидкість експлуатації вразливостей найчастіше випереджає швидкість циклів оновлення корпоративного програмного забезпечення.
Висновок
Експлуатація цих уразливостей Windows підкреслює нестабільність моделі «повного розкриття», коли публічна публікація експлойт-коду перетворює суперечку між дослідником і розробником на негайну і широкомасштабну загрозу для цих організацій.
