Hackeri exploatează noile breșe Windows Defender BlueHammer, UnDefend și RedSun după publicarea codului pe GitHub

Hackeri au reușit să compromită cel puțin o organizație folosind vulnerabilități din Windows publicate online în ultimele două săptămâni de un cercetător în securitate nemulțumit, potrivit unei companii de securitate cibernetică.

Vineri, compania de securitate cibernetică Huntress a anunțat într-o serie de postări pe X că cercetătorii săi au observat hackeri care profită de trei vulnerabilități de securitate Windows, denumite BlueHammer, UnDefend și RedSun.

Nu este clar cine este ținta acestui atac și nici identitatea hackerilor nu este cunoscută.

Dintre cele trei vulnerabilități exploatate, BlueHammer este singura pentru care Microsoft a lansat până acum un patch. O actualizare care remediază BlueHammer a fost distribuită la începutul acestei săptămâni.

Se pare că hackerii exploatează aceste breșe folosind codul de exploatare publicat online de cercetătorul în securitate.

La începutul lunii, un cercetător cunoscut sub pseudonimul Chaotic Eclipse a publicat pe blogul său ceea ce a descris ca fiind cod pentru exploatarea unei vulnerabilități necorectate în Windows. Cercetătorul a sugerat că un conflict cu Microsoft a stat la baza deciziei de a face public codul.

„I was not bluffing Microsoft and I’m doing it again”, a scris acesta. „Huge thanks to MSRC leadership for making this possible”, a adăugat el, referindu-se la Microsoft’s Security Response Center, echipa companiei care investighează atacuri cibernetice și gestionează rapoartele despre vulnerabilități.

Câteva zile mai târziu, Chaotic Eclipse a publicat UnDefend, iar apoi, la începutul acestei săptămâni, a făcut public și RedSun. Cercetătorul a pus la dispoziție cod de exploatare pentru toate cele trei vulnerabilități pe pagina sa de GitHub.

Toate cele trei vulnerabilități afectează antivirusul Windows Defender dezvoltat de Microsoft. Acestea permit unui atacator să obțină acces cu privilegii ridicate, de tip administrator, pe un computer Windows afectat.

Compania de presă nu a reușit să ia legătura cu Chaotic Eclipse pentru comentarii.

Ca răspuns la o serie de întrebări punctuale, directorul de comunicare al Microsoft, Ben Hope, a declarat că firma susține „coordinated vulnerability disclosure, a widely adopted industry practice that helps ensure issues are carefully investigated and addressed before public disclosure, supporting both customer protection and the security research community.”

Acesta este un exemplu de ceea ce industria securității cibernetice numește „full disclosure”. Atunci când cercetătorii descoperă o vulnerabilitate, ei o pot raporta producătorului software afectat pentru a contribui la remedierea ei. De regulă, compania confirmă primirea raportului, iar dacă vulnerabilitatea este reală, începe procesul de creare a unui patch. Deseori, compania și cercetătorii stabilesc de comun acord un calendar care precizează momentul în care cercetătorul își poate face publice concluziile.

Uneori însă, din diverse motive, această comunicare eșuează, iar cercetătorii dezvăluie public detaliile vulnerabilității. În anumite cazuri, pentru a dovedi existența sau gravitatea problemei, ei merg chiar mai departe și publică un cod „proof-of concept” capabil să exploateze efectiv breșa.

Când se întâmplă acest lucru, infractorii cibernetici, hackerii afiliați unor guverne și alte grupări pot prelua codul și îl pot folosi în atacurile lor, ceea ce determină specialiștii în securitate să reacționeze rapid pentru a limita consecințele.

„With these being so easily available now, and already weaponized for easy use, for better or for worse I think that ultimately puts us in another tug-of-war match between defenders and cybercriminals,” a declarat John Hammond, unul dintre cercetătorii de la Huntress care urmăresc acest caz.

„Scenarios like these cause us to race with our adversaries; defenders frantically try to protect against ill-intended actors who rapidly take advantage of these exploits... especially now as it is just ready-made attacker tooling,” a mai spus Hammond.