В пятницу компания по кибербезопасности Huntress сообщила в серии сообщений в X, что ее исследователи обнаружили, как хакеры используют три уязвимости в системе безопасности Windows, получившие названия BlueHammer, UnDefend и RedSun.
Неясно, кто является целью этой атаки и кто эти хакеры.
BlueHammer — единственная из трех эксплуатируемых уязвимостей, которую Microsoft уже исправила. Исправление для BlueHammer было выпущено на этой неделе.
Похоже, хакеры используют эти уязвимости с помощью эксплойт-кода, который исследователь безопасности опубликовал в сети.
Ранее в этом месяце исследователь под псевдонимом Chaotic Eclipse опубликовал в своем блоге то, что он назвал кодом для эксплуатации необработанной уязвимости в Windows. Исследователь намекнул на некий конфликт с Microsoft как на мотив публикации кода.
«Я не блефовал насчет Microsoft, и я делаю это снова», — написал он. «Огромное спасибо руководству MSRC за то, что сделали это возможным», — добавил он, имея в виду Центр реагирования на угрозы безопасности Microsoft, команду компании, которая расследует кибератаки и обрабатывает сообщения об уязвимостях.
Через несколько дней Chaotic Eclipse опубликовал UnDefend, а затем на этой неделе опубликовал RedSun. Исследователь разместил код для эксплуатации всех трех уязвимостей на своей странице GitHub.
Все три уязвимости затрагивают антивирус Windows Defender от Microsoft, позволяя хакеру получить доступ высокого уровня или права администратора к зараженному компьютеру под управлением Windows.
TechCrunch не удалось связаться с Chaotic Eclipse для получения комментариев.
В ответ на ряд конкретных вопросов директор по коммуникациям Microsoft Бен Хоуп заявил в своем заявлении, что компания поддерживает «скоординированное раскрытие информации об уязвимостях — широко распространенную отраслевую практику, которая помогает обеспечить тщательное расследование и устранение проблем до их публичного раскрытия, поддерживая как защиту клиентов, так и сообщество исследователей безопасности».
Это случай так называемого «полного раскрытия информации» в индустрии кибербезопасности. Когда исследователи обнаруживают уязвимость, они могут сообщить о ней производителю программного обеспечения, чтобы помочь ему исправить ее. В этот момент компания обычно подтверждает получение, и если уязвимость реальна, компания работает над ее исправлением. Часто компания и исследователи договариваются о сроках, устанавливающих, когда исследователь может публично объяснить свои находки.
Иногда по разным причинам такое общение нарушается, и исследователи публично раскрывают детали уязвимости. В некоторых случаях, отчасти для того, чтобы доказать существование или серьезность уязвимости, исследователи идут дальше и публикуют код «доказательства концепции» (proof-of-concept), способный злоупотреблять этой ошибкой.
Когда это происходит, киберпреступники, государственные хакеры и другие лица могут взять этот код и использовать его для своих атак, что вынуждает защитников кибербезопасности спешно устранять последствия.
«Поскольку они теперь так легко доступны и уже превращены в готовое к использованию оружие, к лучшему или к худшему, я думаю, что в конечном итоге это ставит нас в очередное перетягивание каната между защитниками и киберпреступниками», — сказал TechCrunch Джон Хэммонд, один из исследователей Huntress, который следит за этим делом.
«Сценарии, подобные этому, заставляют нас соревноваться с нашими противниками: защитники отчаянно пытаются защититься от злонамеренных субъектов, которые быстро используют эти эксплойты… особенно сейчас, когда это уже готовый инструмент для атакующих», — сказал Хэммонд.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
