வெளியிடப்பட்ட Windows Defender exploits இப்போது தாக்குதல்களில் பயன்படுத்தப்படுகின்றன

இந்த மாத தொடக்கத்தில் ஒரு ஆராய்ச்சியாளர் இணையத்தில் வெளியிட்ட Windows பாதுகாப்பு குறைபாடுகளின் ஒரு தொகுப்பு, ஏற்கனவே குறைந்தபட்சம் ஒரு நிஜ உலக ஊடுருவலில் பயன்படுத்தப்பட்டுள்ளது என்று cybersecurity நிறுவனம் Huntress தெரிவித்துள்ளது. இந்த முன்னேற்றம், இதுவரை ஒரு public vulnerability disclosure ஆக இருந்ததை, Microsoft Defender-ஐ நம்பி இன்னும் கிடைக்கக்கூடிய fixes அல்லது compensating controls-ஐ பயன்படுத்தாத நிறுவனங்களுக்கு உயிரோட்டமுள்ள operational risk ஆக மாற்றுகிறது.

Huntress, தாக்குதலாளர்கள் BlueHammer, UnDefend, மற்றும் RedSun என அறியப்படும் மூன்று vulnerabilities-ஐ பயன்படுத்தி வருகிறார்கள் என்று கூறியது. அவற்றில், இதுவரை BlueHammer மட்டுமே Microsoft மூலம் patch செய்யப்பட்டுள்ளது; இந்த வாரத்தின் தொடக்கத்தில் நிறுவனம் அதற்கான fix-ஐ வெளியிட்டது. கொடுக்கப்பட்ட source text-இல் விவரிக்கப்பட்டுள்ள மீதமுள்ள சிக்கல்கள், சில நிறுவனங்கள் default அல்லது மாற்றமற்ற Defender பாதுகாப்புகளை நம்பியிருந்தால், எவ்வளவு பரவலாக வெளிப்படக்கூடும் என்பது குறித்து இன்னும் uncertainty-ஐ ஏற்படுத்துகின்றன.

இந்தச் சம்பவம் கணினி பாதுகாப்பில் நீண்டநாள் நிலவும் ஒரு பதற்றத்தையும் எடுத்துக்காட்டுகிறது: public disclosure விற்பனையாளர்களை வேகமாக பதிலளிக்கத் தூண்டலாம், ஆனால் patches பரவலாக deploy செய்யப்படுவதற்கு முன் வெளியிடப்படும் விரிவான exploit code, தீங்கிழைக்கும் செயற்பாட்டாளர்களுக்கான தடையை உடனடியாகக் குறைக்கலாம். இந்த வழக்கில், TechCrunch தெரிவித்ததாவது exploit activity, Chaotic Eclipse என்ற பெயரில் செயல்படும் ஒரு ஆராய்ச்சியாளர் வெளியிட்ட code-ஐ பயன்படுத்தும் போல் தெரிகிறது.

குறைபாடுகள் பொதுத் தளத்துக்கு எப்படி வந்தன

source text-ன் படி, Chaotic Eclipse முதலில் ஒரு unpatched Windows vulnerability-ஐ பயன்படுத்துவதாக கூறிய code-ஐ பதிவிட்டார்; அதே நேரத்தில் Microsoft இந்த பிரச்சினையை கையாள்ந்த விதம் குறித்து ஏமாற்றத்தையும் வெளிப்படுத்தினார். சில நாட்களுக்குப் பிறகு, ஆராய்ச்சியாளர் UnDefend மற்றும் RedSun-க்கு கூடுதல் exploit பொருட்களை வெளியிட்டார்; அதில் GitHub-ல் host செய்யப்பட்ட code-உம் அடங்கும். இந்த மூன்று vulnerabilities-உம் Microsoft Defender-ஐ பாதிக்கின்றன, மேலும் ஒரு இலக்காக்கப்பட்ட Windows system-இல் உயர்த்தப்பட்ட administrator-level access பெற தாக்குதலாளருக்கு வாய்ப்பு அளிக்க முடியும்.

அந்த வரிசை முக்கியமானது, ஏனெனில் exploit publication அச்சுறுத்தல் சூழலை மிக வேகமாக மாற்றுகிறது. வேலை செய்யும் code பொதுமக்களுக்கு கிடைக்கும்போது, தாக்குதலாளர்கள் இனி bug-ஐ தனியாகக் கண்டுபிடிக்கவோ, அல்லது தங்களின் tooling-ஐ ஆரம்பத்திலிருந்து உருவாக்கவோ தேவையில்லை. அவர்கள் வெளியிடப்பட்ட பொருட்களை மாற்றிப் பயன்படுத்தலாம், அவற்றை automate செய்யலாம், மற்றும் வெளிப்படையாகக் காணப்படும் systems-இல் விரைவாக சோதிக்கலாம்.

source text பாதிக்கப்பட்ட நிறுவனத்தின் அடையாளத்தை தெரிவிக்கவில்லை, மேலும் பொறுப்பான threat actor-ஐயும் குறிப்பிடவில்லை. ஆனால் attribution இல்லாமை இந்த வழக்கின் முக்கியத்துவத்தை குறைப்பதில்லை. நடைமுறையில், opportunistic அல்லது targeted தாக்குதலாளர்கள் இந்த disclosures-ஐ செயல்பாட்டுக்கு எடுத்துக்கொள்கிறார்கள் என்பதற்கான உறுதிப்படுத்தப்பட்ட ஆதாரம் பாதுகாப்பாளர்களிடம் இப்போது உள்ளது.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic IPO செயல்முறையை தொடங்க ரகசியமாக தாக்கல் செய்தது

அமெரிக்க பங்குச் சந்தை மற்றும் பரிவர்த்தனை ஆணையத்திடம் ஒரு draft registration statement சமர்ப்பித்ததாக Anthropic கூறியுள்ளது; இதனால் பொதுப் பட்டியலிடல் நோக்கிய செயல்முறை தொடங்குகிறது.

Read article

Defender தொடர்பான குறைபாடுகள் ஏன் குறிப்பாக உணர்திறன் கொண்டவை

பாதுகாப்பு தயாரிப்புகள் enterprise systems-இல் ஒரு முன்னுரிமை பெற்ற இடத்தை வகிக்கின்றன. Antivirus மற்றும் endpoint protection tools பெரும்பாலும் கோப்புகள், memory, processes, மற்றும் operating system நடத்தை மீது ஆழமான visibility-யுடன் இயங்குகின்றன. அத்தகைய access தான் அவற்றை threats-ஐ கண்டறிந்து தடுக்க உதவுகிறது; ஆனால் பாதுகாப்பு அடுக்குக்குள் உள்ள பலவீனங்கள் தாக்குதலாளர்களுக்கு அசாதாரண மதிப்புடையதாக மாறக்கூடும் என்பதையும் அது குறிக்கிறது.

Defender-இல் உள்ள ஒரு flaw-ஐ உயர்நிலை access பெற, protections-ஐ disable செய்ய, அல்லது malware-ஐ ஒரு system-இல் நிலைத்திருக்க உதவ பயன்படுத்த முடிந்தால், தாக்குதலாளர் வெறும் ஒரு control-ஐ bypass செய்வதில்லை. பல நிறுவனங்கள் ஒரு முக்கிய defensive mechanism ஆக நம்பும் software-ஐ அவரே பலவீனப்படுத்திக் கொண்டிருக்கலாம். இது அளவுக்கு மீறிய downstream risk-ஐ உருவாக்குகிறது, குறிப்பாக Defender பரவலாக deploy செய்யப்பட்டு மையப்படுத்தப்பட்ட நம்பிக்கையுடன் இருக்கும் சூழல்களில்.

source text படி, இந்த மூன்று flaws-உம் Defender-ஐ பாதிக்கின்றன மற்றும் elevated access-ஐ இயக்க முடியும். கூடுதல் technical detail இல்லாவிட்டாலும், public exploit code ஏன் பாதுகாப்பு குழுக்களுக்கும் தாக்குதலாளர்களுக்கும் உடனடி கவனம் ஈர்க்கும் என்பதை இது விளக்குவதற்கு போதுமானது.

Microsoft-ன் நிலைப்பாடு மற்றும் disclosure விவாதம்

Microsoft TechCrunch-க்கு, அது coordinated vulnerability disclosure-ஐ ஆதரிக்கிறது என்று தெரிவித்தது; இது தொழில்துறையில் ஆராய்ச்சியாளர்கள் பிரச்சினைகளை தனிப்பட்ட முறையில் தெரிவித்து, தொழில்நுட்ப விவரங்களை பொதுவில் வெளியிடுவதற்கு முன் விசாரணை மற்றும் remediation-க்கு நேரம் அளிக்கும் நடைமுறை. இந்த மாதிரி defenders தயாராக இல்லாமல் சிக்கிக்கொள்ளும் வாய்ப்பைக் குறைக்க வடிவமைக்கப்பட்டுள்ளது.

இந்த நிகழ்வு அந்த செயல்முறை முறியடிக்கப்படும் போது ஏற்படும் பாதிப்பைக் காட்டுகிறது. Public pressure, ஆராய்ச்சியாளர்கள் மற்றும் vendors இடையேயான unresolved tensions-ஐ வெளிக்கொணரலாம்; ஆனால் நடுவில் இருக்கும் நிறுவனங்கள் அந்த ஆபத்தை ஏற்றுக்கொள்ள நேரிடுகிறது. exploit விவரங்கள் கிடைத்தவுடன், safe patching-க்கு உள்ள காலஅவகாசம் கடுமையாக சுருங்குகிறது.

அதே நேரத்தில், source text Microsoft ஏற்கனவே BlueHammer-ஐ patch செய்துவிட்டதாகக் காட்டுகிறது; இதனால் குறைந்தது response pipeline-ன் ஒரு பகுதி செயலில் இருப்பது தெரிகிறது. மேலும் உடனடி கவலை மற்ற அறிவிக்கப்பட்ட பிரச்சினைகளின் நிலை மற்றும் பரவலான fixes காத்திருக்கும் போது நிறுவனங்களுக்கு தெளிவான mitigation guidance உள்ளதா என்பதே.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

ஸ்மார்ட் டிவிகளில் VPN பயன்பாடு இப்போது வீட்டுத்-தள நெட்வொர்க் பாதுகாப்பு நடவடிக்கையாக மாறுகிறது

ஸ்மார்ட் டிவிகளுக்கான ரவுட்டர்-அடிப்படையிலான VPN என்பது ஸ்ட்ரீமிங் அணுகலுக்காக மட்டுமல்ல, இணைக்கப்பட்ட வீட்டுப் பொருட்களுக்கிடையே தரவு வெளிப்பாட்டை குறைக்கும் வழியாகவும் முன்வைக்கப்படுகிறது.

Read article

இப்போது நிறுவனங்களுக்கு இதன் பொருள் என்ன

மிகவும் முக்கியமான குறுகியகால takeaway என்னவென்றால், இவை இனி கோட்பாட்டுக்குரிய bugs அல்ல. குறைந்தது ஒரு நிறுவனம் ஏற்கனவே வெளியிடப்பட்ட vulnerabilities-ஐ பயன்படுத்தி compromise செய்யப்பட்டுள்ளது. இது கதையை கண்காணிப்பதிலிருந்து அதை ஒரு active exposure-management issue ஆகக் கருத வேண்டிய நிலைக்குத் தள்ளுகிறது.

Microsoft Defender பயன்படுத்தும் security teams, BlueHammer patches பயன்படுத்தப்பட்டுள்ளனவா என்பதை உறுதிப்படுத்த வேண்டும், சமீபத்திய வழிகாட்டலுக்கு Microsoft advisories-ஐ பரிசீலிக்க வேண்டும், மற்றும் unusual privilege escalation அல்லது Defender tampering அறிகுறிகளுக்காக systems-ஐ ஆய்வு செய்ய வேண்டும். public exploit code இதில் உள்ளதால், நிறுவனங்கள் copycat activity நடக்கக்கூடும் என்று கருத வேண்டும்.

Enterprise security leaders-க்கு ஒரு பரந்த பாடமும் உள்ளது. Defensive strength-ஐ எந்த tools நிறுவப்பட்டுள்ளன என்பதன் அடிப்படையில் மட்டும் அளவிட முடியாது. vendors எவ்வளவு விரைவாக patch செய்கிறார்கள், நிறுவனங்கள் updates-ஐ எவ்வளவு வேகமாக deploy செய்கிறார்கள், மற்றும் பாதுகாப்பு software itself attack path-இன் ஒரு பகுதியாக மாறும்போது teams abuse-ஐ கண்டறிய முடியுமா என்பதிலும் அது சார்ந்துள்ளது.

உடனடி கதை மூன்று Windows flaws மற்றும் ஒரு உறுதிப்படுத்தப்பட்ட intrusion பற்றியது. பெரிய கதை என்னவென்றால், offensive capability இப்போது ஒரு ஆராய்ச்சியாளரின் blog post-இலிருந்து operational use-க்கு எவ்வளவு வேகமாக நகர்கிறது என்பதே. அந்த சூழலில், patch latency, endpoint நடத்தை பற்றிய visibility, மற்றும் ஒழுங்கான incident response ஆகியவை முன்பைவிட அதிக முக்கியத்துவம் பெறுகின்றன.

இந்தக் கட்டுரை TechCrunch செய்திப்பதிவை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.

Originally published on techcrunch.com