Hackerii au reușit să pătrundă în cel puțin o organizație folosind vulnerabilități de securitate Windows care au fost publicate online de un cercetător în securitate informatică nemulțumit, în ultimele două săptămâni, potrivit unei companii specializate în cybersecurity. Vineri, compania de securitate cibernetică Huntress a anunțat, într-o serie de mesaje pe rețeaua de socializare X, că cercetătorii săi au observat hackeri care profită de trei vulnerabilități de securitate Windows, denumite BlueHammer, UnDefend și RedSun. Dintre cele trei vulnerabilități identificate, BlueHammer este singura bug pentru care Microsoft a lansat deja un patch de securitate. O corecție pentru BlueHammer a fost distribuită la începutul acestei săptămâni.
Se pare că hackerii exploatează aceste vulnerabilități folosind codul de exploit publicat online de cercetătorul în securitate. La începutul acestei luni, un cercetător care folosește pseudonimul Chaotic Eclipse a publicat pe blogul personal ceea ce a descris drept cod pentru exploatarea unei vulnerabilități necorectate în sistemul de operare Windows. Cercetătorul a lăsat să se înțeleagă că un conflict cu Microsoft l-a motivat să facă public acest cod sensibil.
„Nu bluffam Microsoft și o fac din nou", a scris acesta. „Multe mulțumiri conducerii MSRC pentru că a făcut acest lucru posibil", a adăugat el, referindu-se la Centrul de Răspuns la Securitate al Microsoft, echipa companiei care investighează atacurile cibernetice și gestionează rapoartele privind vulnerabilitățile.
La câteva zile după aceea, Chaotic Eclipse a publicat UnDefend, iar apoi, mai devreme în această săptămână, a publicat RedSun. Cercetătorul a publicat codul de exploit pentru toate cele trei vulnerabilități pe pagina sa de GitHub.
Toate cele trei vulnerabilități afectează antivirusul Microsoft Windows Defender, permițând unui hacker să obțină acces la nivel înalt sau de administrator pe un computer Windows afectat. Aceasta reprezintă o amenințare extrem de gravă, deoarece controlul de nivel administrator oferă atacatorilor capacitatea de a executa cod arbitrar, de a fura date sensibile, de a instala malware suplimentar sau de a folosi sistemul compromis ca punct de plecare pentru atacuri mai ample asupra rețelei organizației.
Ca răspuns la o serie de întrebări specifice adresate de TechCrunch, Ben Hope, directorul de comunicare al Microsoft, a declarat într-un comunicat că compania susține „divulgarea coordonată a vulnerabilităților, o practică larg adoptată în industrie care ajută la asigurarea că problemele sunt investigate cu atenție și abordate înainte de divulgarea publică, sprijinind atât protecția clienților, cât și comunitatea de cercetare în securitate".
Acest caz ilustrează ceea ce industria cybersecurity numește „divulgare completă" (full disclosure). Când cercetătorii descoperă o vulnerabilitate, aceștia o pot raporta producătorului de software afectat pentru a-l ajuta să o remedieze. În mod normal, compania confirmă primirea raportului, iar dacă vulnerabilitatea este legitimă, lucrează la elaborarea unui patch. Adesea, compania și cercetătorii cad de acord asupra unui calendar care stabilește când cercetătorul poate dezvălui public descoperirile sale.
Uneori, din diverse motive, această comunicare se întrerupe, iar cercetătorii divulgă public detaliile vulnerabilității. În unele cazuri, parțial pentru a demonstra existența sau severitatea unei deficiențe de securitate, cercetătorii merg mai departe și publică cod „proof-of-concept" (dovada conceptului) capabil să abuzeze de acea vulnerabilitate. Când se întâmplă acest lucru, infractorii cibernetici, hackerii guvernamentali și alții pot prelua codul și să-l folosească pentru atacurile lor, ceea ce determină apărătorii cybersecurity să se grăbească să gestioneze consecințele.
„Având în vedere că aceste instrumente sunt acum atât de ușor disponibile și deja transformate în arme pentru utilizare simplă, de bine sau de rău, cred că în cele din urmă ne pune într-un alt meci de tras la frânghie între apărători și infractori cibernetici", a declarat John Hammond, unul dintre cercetătorii de la Huntress care a urmărit cazul, pentru TechCrunch.
„Scenarii precum acestea ne fac să alergăm cu adversarii noștri; apărătorii încearcă frenetic să protejeze împotriva actorilor cu intenții rele care profită rapid de aceste exploit-uri... mai ales acum, când este doar un instrument de atac gata făcut", a spus Hammond.
Această situație ridică întrebări importante despre echilibrul dintre transparența cercetării în securitate și responsabilitatea de a proteja utilizatorii. Pe de o parte, divulgarea completă poate forța companiile mari de tehnologie să remedieze mai rapid vulnerabilitățile, mai ales atunci când comunicarea oficială este percepută ca fiind lentă sau ineficientă. Pe de altă parte, publicarea codului de exploit înainte ca producătorul să fi emis un patch lasă milioane de utilizatori vulnerabili la atacuri.
În cazul de față, cele trei vulnerabilități vizează Windows Defender, antivirusul integrat în Windows, ceea ce înseamnă că afectează sute de milioane de computere din întreaga lume. Faptul că toate cele trei vulnerabilități permit escaladarea privilegiilor până la nivel de administrator face ca impactul potențial să fie devastator. Un atacator care reușește să exploateze una dintre aceste vulnerabilități poate prelua controlul complet asupra sistemului afectat.
Compania Huntress a monitorizat situația și a confirmat că cel puțin o organizație a fost deja compromisă prin intermediul acestor exploit-uri. Deși detaliile specifice despre organizația afectată nu au fost făcute publice, acest lucru demonstrează că amenințarea este reală și activă.
Microsoft a confirmat că a remediat vulnerabilitatea BlueHammer și a îndrumat utilizatorii să se asigure că sistemele lor sunt actualizate cu cele mai recente patch-uri de securitate. Cu toate acestea, pentru UnDefend și RedSun, remedierile sunt încă în lucru, ceea ce înseamnă că sistemele care rulează Windows rămân vulnerabile la aceste atacuri.
Experții în securitate cibernetică recomandă ca organizațiile să implementeze imediat măsuri de protecție suplimentare, inclusiv dezactivarea temporară a funcționalităților afectate, monitorizarea intensificată a traficului de rețea și implementarea unor politici stricte de control al accesului. De asemenea, este esențial ca utilizatorii să fie educați cu privire la riscurile asociate cu deschiderea fișierelor sau link-urilor suspecte, deoarece multe dintre aceste exploit-uri pot fi livrate prin intermediul atacurilor de tip phishing.
Cazul Chaotic Eclipse vs. Microsoft evidențiază o tensiune persistentă în industria securității cibernetice: cea dintre cercetătorii care cred că divulgarea publică este singura modalitate de a forța companiile să ia măsuri și companiile care preferă procese de divulgare coordonată, mai controlate. Această dezbatere continuă să modeleze modul în care vulnerabilitățile sunt descoperite, raportate și remediate în ecosistemul tehnologic global.
Pentru utilizatorii obișnuiți și organizații, cel mai important lucru este să rămână vigilenți, să mențină sistemele actualizate și să urmărească îndeaproape recomandările Microsoft și ale experților în securitate. Până la remedierea completă a tuturor celor trei vulnerabilități, riscul de atac va rămâne ridicat, iar hackerii vor continua să caute organizații vulnerabile de exploatat.
Hackerii exploatează vulnerabilități Windows necorectate pentru a pătrunde în rețelele organizațiilor
