Τρεις ευπάθειες στο Windows Defender, με διαθέσιμο κώδικα επίθεσης, αξιοποιούνται ήδη από χάκερς. Η υπόθεση αναζωπυρώνει τη διαμάχη για το «full disclosure».
Τρεις σοβαρές ευπάθειες στο Windows Defender, το ενσωματωμένο antivirus των Windows, έχουν αρχίσει να αξιοποιούνται ενεργά από κυβερνοεγκληματίες, μετά τη δημόσια δημοσίευση τεχνικών λεπτομερειών και κώδικα εκμετάλλευσης από ανεξάρτητο ερευνητή κυβερνοασφάλειας. Η εταιρεία Huntress ανακοίνωσε ότι έχει ήδη εντοπίσει τουλάχιστον μία επιτυχημένη παραβίαση οργανισμού μέσω αυτών των κενών ασφαλείας.
Οι ευπάθειες BlueHammer, UnDefend και RedSun
Οι τρεις ευπάθειες, με ονόματα BlueHammer, UnDefend και RedSun, επηρεάζουν το Windows Defender και επιτρέπουν σε επιτιθέμενους να αποκτήσουν δικαιώματα διαχειριστή σε μολυσμένα συστήματα. Αυτό σημαίνει πλήρη έλεγχο του υπολογιστή: εγκατάσταση κακόβουλου λογισμικού, κλοπή δεδομένων, πλευρική κίνηση στο εταιρικό δίκτυο.
Μέχρι στιγμής, μόνο η BlueHammer έχει διορθωθεί από τη Microsoft, με ενημέρωση ασφαλείας που διατέθηκε πρόσφατα. Οι άλλες δύο, UnDefend και RedSun, παραμένουν χωρίς επίσημο patch, αυξάνοντας τον κίνδυνο για επιχειρήσεις και δημόσιους οργανισμούς που βασίζονται στο Windows Defender ως βασικό στρώμα προστασίας.
Ο ερευνητής που υπογράφει ως «Chaotic Eclipse» δημοσίευσε διαδοχικά τον κώδικα εκμετάλλευσης (exploit code) και για τις τρεις ευπάθειες σε δημόσιο αποθετήριο, επικαλούμενος σύγκρουση με τη Microsoft ως κίνητρο. Η κίνηση αυτή μετέτρεψε άμεσα τις ευπάθειες σε «έτοιμα προς χρήση» εργαλεία για χάκερς.
Η σύγκρουση για τη δημοσιοποίηση και οι επιπτώσεις στις άμυνες
Η υπόθεση αναδεικνύει το διαχρονικό δίλημμα στην κυβερνοασφάλεια ανάμεσα στη συντονισμένη αποκάλυψη (coordinated disclosure) και την πλήρη, άμεση δημοσιοποίηση (full disclosure). Η Microsoft, μέσω εκπροσώπου της, επανέλαβε ότι υποστηρίζει τη συντονισμένη γνωστοποίηση, όπου οι ερευνητές δίνουν χρόνο στην εταιρεία να ερευνήσει και να διορθώσει το πρόβλημα πριν αυτό γίνει δημόσιο.
Όταν όμως η συνεργασία διαρραγεί και δημοσιεύονται λεπτομέρειες και «proof-of-concept» κώδικας, οι κυβερνοεγκληματίες και κρατικοί δρώντες μπορούν να αξιοποιήσουν άμεσα τα εργαλεία επίθεσης, ενώ οι αμυνόμενοι τρέχουν να προλάβουν. Όπως σημειώνει η Huntress, η υπόθεση έχει ήδη μετατραπεί σε μια νέα «κόντρα ταχύτητας» μεταξύ επιτιθέμενων και ομάδων ασφαλείας, καθώς τα exploits είναι πλέον έτοιμα προς χρήση από οποιονδήποτε.
Για οργανισμούς διεθνώς –και κατ’ επέκταση για ελληνικές επιχειρήσεις και φορείς που χρησιμοποιούν Windows– η προτεραιότητα είναι ο άμεσος έλεγχος για διαθέσιμες ενημερώσεις, η ενίσχυση των μηχανισμών ανίχνευσης και η αξιολόγηση εναλλακτικών ή συμπληρωματικών λύσεων προστασίας πέραν του προεγκατεστημένου antivirus.
Σχόλιο 
: Η υπόθεση δείχνει πόσο επικίνδυνος είναι ο συνδυασμός μονοκαλλιέργειας (καθολική χρήση Windows Defender) και δημόσιου exploit code: ένα τεχνικό ρήγμα και μια διαρρηγμένη σχέση εμπιστοσύνης μεταξύ ερευνητών και προμηθευτή αρκούν για να εκθέσουν ολόκληρα οικοσυστήματα. Οι ελληνικοί οργανισμοί που εξακολουθούν να αντιμετωπίζουν την κυβερνοασφάλεια ως δευτερεύον κόστος, και όχι ως κρίσιμη επένδυση ανθεκτικότητας, κινδυνεύουν να βρεθούν στο επίκεντρο της επόμενης επίθεσης.
#κυβερνοασφάλεια #Windows #Microsoft #hacking
