Hackeri au pătruns în cel puțin o organizație folosind vulnerabilități Windows publicate online de un cercetător de securitate nemulțumit în ultimele două săptămâni, potrivit unei firme de securitate cibernetică.
Vineri, compania de securitate cibernetică Huntress a declarat într-o serie de postări pe X că cercetătorii săi au observat hackeri care profită de trei vulnerabilități de securitate Windows, numite BlueHammer, UnDefend și RedSun.
Nu este clar care este ținta acestui atac și cine sunt hackerii.
BlueHammer este singurul bug dintre cele trei vulnerabilități exploatate pe care Microsoft l-a corectat până acum. O remediere pentru BlueHammer a fost lansată la începutul acestei săptămâni.
Se pare că hackerii exploatează bug-urile folosind codul de exploatare pe care cercetătorul de securitate l-a publicat online.
La începutul acestei luni, un cercetător care se prezintă sub numele de Chaotic Eclipse a publicat pe blogul său ceea ce a spus că este cod pentru a exploata o vulnerabilitate necorectată în Windows. Cercetătorul a făcut aluzie la un conflict cu Microsoft ca motivație pentru publicarea codului.
„Nu am bluffat Microsoft și o fac din nou”, a scris el. „Mulțumiri uriașe conducerii MSRC pentru că a făcut acest lucru posibil”, a adăugat el, referindu-se la Centrul de Răspuns pentru Securitate al Microsoft, echipa companiei care investighează atacurile cibernetice și gestionează rapoartele de vulnerabilități.
Câteva zile mai târziu, Chaotic Eclipse a publicat UnDefend, iar apoi, la începutul acestei săptămâni, a publicat RedSun. Cercetătorul a publicat cod pentru a exploata toate cele trei vulnerabilități pe pagina sa GitHub.
Toate cele trei vulnerabilități afectează antivirusul Windows Defender, produs de Microsoft, permițând unui hacker să obțină acces de nivel înalt sau de administrator la un computer Windows afectat.
TechCrunch nu a reușit să contacteze Chaotic Eclipse pentru comentarii.
Ca răspuns la o serie de întrebări specifice, directorul de comunicare al Microsoft, Ben Hope, a declarat într-un comunicat că compania sprijină „dezvăluirea coordonată a vulnerabilităților, o practică industrială larg adoptată, care ajută la asigurarea faptului că problemele sunt investigate și abordate cu atenție înainte de divulgarea publică, sprijinind atât protecția clienților, cât și comunitatea de cercetare în domeniul securității”.
Acesta este un caz de ceea ce industria securității cibernetice numește „dezvăluire completă”. Când cercetătorii găsesc o eroare, o pot raporta producătorului de software afectat pentru a-l ajuta să o corecteze. În acel moment, de obicei, compania confirmă primirea și, dacă vulnerabilitatea este legitimă, compania lucrează pentru a o remedia. Adesea, compania și cercetătorii convin asupra unui interval de timp care stabilește când cercetătorul își poate explica public constatările.
Uneori, dintr-o varietate de motive, această comunicare se întrerupe și cercetătorii dezvăluie public detalii despre bug. În unele cazuri, parțial pentru a dovedi existența sau gravitatea unei erori, cercetătorii fac un pas mai departe și publică cod „proof-of-concept” capabil să abuzeze de acel bug.
Când se întâmplă acest lucru, infractorii cibernetici, hackerii guvernamentali și alții pot lua apoi codul și îl pot folosi pentru atacurile lor, ceea ce determină apărătorii de securitate cibernetică să se grăbească să facă față efectelor.
„Având în vedere că acestea sunt acum atât de ușor disponibile și deja înarmate pentru o utilizare ușoară, în bine sau în rău, cred că, în cele din urmă, ne pune într-un alt meci de trageri pe sfoară între apărători și infractorii cibernetici”, a declarat John Hammond, unul dintre cercetătorii de la Huntress, care a urmărit cazul, pentru TechCrunch.
„Scenariile de genul acesta ne fac să ne întrecem cu adversarii noștri; apărătorii încearcă frenetic să se protejeze împotriva actorilor cu intenții rele care profită rapid de aceste exploatări... mai ales acum, deoarece este doar un instrument de atacator gata făcut”, a spus Hammond.