ప్రచురితమైన Windows Defender exploits ఇప్పుడు దాడుల్లో ఉపయోగిస్తున్నారు
ఈ నెల ప్రారంభంలో ఒక పరిశోధకుడు ఆన్లైన్లో ప్రచురించిన Windows భద్రతా లోపాల సమూహం ఇప్పటికే కనీసం ఒక వాస్తవ ప్రపంచ చొరబాటులో ఉపయోగించబడిందని cybersecurity సంస్థ Huntress తెలిపింది. ఈ పరిణామం, ఇప్పటివరకు public vulnerability disclosureగా ఉన్న విషయాన్ని, Microsoft Defenderపై ఆధారపడే మరియు ఇంకా అందుబాటులో ఉన్న fixes లేదా compensating controlsను అమలు చేయని సంస్థలకు ప్రత్యక్ష operational riskగా మారుస్తుంది.
Huntress ప్రకారం, దాడి చేసేవారు BlueHammer, UnDefend, మరియు RedSun గా పిలువబడే మూడు vulnerabilitiesను దుర్వినియోగం చేస్తున్నారు. వాటిలో ఇప్పటివరకు BlueHammerకే Microsoft ప్యాచ్ చేసింది, ఈ వారం ప్రారంభంలో కంపెనీ fix విడుదల చేసింది. మిగిలిన సమస్యలు, అందించిన source textలో వివరించినట్లుగా, కొన్ని సంస్థలు default లేదా మార్పు చేయని Defender protectionsపై ఆధారపడితే అవి ఎంతవరకు బహిర్గతమవుతాయో అన్న అనిశ్చితిని ఇంకా మిగులుస్తున్నాయి.
ఈ సంఘటన కంప్యూటర్ భద్రతలో ఉన్న పాత ఉద్రిక్తతను కూడా హైలైట్ చేస్తుంది: public disclosure వENDORలను వేగంగా స్పందించడానికి ఒత్తిడి చేయగలదు, కానీ patches విస్తృతంగా అమలులోకి రాకముందే విడుదలైన వివరణాత్మక exploit code, దురుద్దేశ్యకరుల కోసం అడ్డంకిని వెంటనే తగ్గించగలదు. ఈ సందర్భంలో, TechCrunch నివేదించినదాని ప్రకారం exploit activityలో Chaotic Eclipse అనే పేరుతో పనిచేస్తున్న ఒక పరిశోధకుడు ప్రచురించిన code ఉపయోగిస్తున్నట్లు కనిపిస్తోంది.
లోపాలు public domainలోకి ఎలా వచ్చాయి
source text ప్రకారం, Chaotic Eclipse మొదట unpatched Windows vulnerabilityను దుర్వినియోగం చేస్తుందని వారు చెప్పిన codeను పోస్ట్ చేశారు, అదే సమయంలో Microsoft ఈ సమస్యను నిర్వహించిన తీరుపై నిరాశను కూడా వ్యక్తం చేశారు. కొన్ని రోజుల తర్వాత, పరిశోధకుడు UnDefend మరియు RedSun కోసం అదనపు exploit materialను ప్రచురించారు, ఇందులో GitHubలో host చేసిన code కూడా ఉంది. ఈ మూడు vulnerabilities Microsoft Defenderను ప్రభావితం చేస్తాయి మరియు లక్ష్యంగా ఉన్న Windows systemలో elevated, administrator-level access పొందడానికి దాడి చేసేవారికి అవకాశం ఇవ్వగలవు.
ఆ క్రమం ముఖ్యమైనది, ఎందుకంటే exploit publication ప్రమాద వాతావరణాన్ని వేగంగా మార్చేస్తుంది. పని చేసే code publicగా మారిన తర్వాత, దాడి చేసేవారు ఇక బగ్ను స్వయంగా కనుగొనాల్సిన అవసరం లేదు లేదా తమ toolingను మొదటి నుంచి నిర్మించాల్సిన అవసరం లేదు. వారు ప్రచురితమైన materialను మార్చుకుని, దాన్ని automate చేసి, బహిర్గతమైన systemsపై వేగంగా పరీక్షించగలరు.
source text బాధిత సంస్థను గుర్తించలేదు, అలాగే బాధ్యత వహించిన threat actor పేరు కూడా చెప్పలేదు. కానీ attribution లేకపోవడం ఈ కేసు ప్రాధాన్యతను తగ్గించదు. ప్రాక్టికల్గా, opportunistic లేదా targeted attackers ఈ disclosuresపై చర్య తీసుకుంటున్నారనే నిర్ధారణైన ఆధారం ఇప్పుడు defenders వద్ద ఉంది.
Defender-related లోపాలు ప్రత్యేకంగా ఎందుకు సున్నితమైనవి
సెక్యూరిటీ products enterprise systemsలో ప్రత్యేక హక్కు ఉన్న స్థానం కలిగి ఉంటాయి. Antivirus మరియు endpoint protection tools తరచుగా files, memory, processes, మరియు operating system behaviorపై లోతైన visibilityతో పనిచేస్తాయి. ఆ access threatsను గుర్తించి అడ్డుకోవడంలో సహాయపడుతుంది, కానీ security layer లోపల ఉన్న బలహీనతలు దాడి చేసేవారికి అసాధారణంగా విలువైనవిగా మారగలవన్నదీ అదే సూచిస్తుంది.
Defenderలోని ఒక flawను అధిక స్థాయి access పొందడానికి, protectionsను నిలిపివేయడానికి, లేదా malware systemపై నిలదొక్కుకోవడానికి ఉపయోగించగలిగితే, దాడి చేసేవాడు కేవలం ఒక controlను bypass చేయడం కాదు. అనేక సంస్థలు ఒక ప్రధాన defensive mechanismగా ఆధారపడే softwareను అతను దెబ్బతీయగలడు. ఇది అసమానంగా పెద్ద downstream riskను సృష్టిస్తుంది, ముఖ్యంగా Defender విస్తృతంగా deploy అయ్యి centrally trustedగా ఉన్న పరిసరాల్లో.
source text ప్రకారం, ఈ మూడు flaws అన్నీ Defenderను ప్రభావితం చేస్తాయి మరియు elevated accessను సాధ్యం చేయగలవు. అదనపు technical detail లేకపోయినా, public exploit code ఎందుకు భద్రతా బృందాలు మరియు దాడి చేసేవారి వెంటనే దృష్టిని ఆకర్షిస్తుందో చెప్పడానికి ఇది సరిపోతుంది.
Microsoft యొక్క వైఖరి మరియు disclosure చర్చ
Microsoft TechCrunchకు coordinated vulnerability disclosureను మద్దతు ఇస్తామని తెలిపింది; ఇది పరిశ్రమలో ఉన్న ఆచారం, ఇందులో పరిశోధకులు సమస్యలను వ్యక్తిగతంగా నివేదించి, సాంకేతిక వివరాలను publicగా విడుదల చేసే ముందు పరిశోధన మరియు remediation కోసం సమయం ఇస్తారు. ఈ మోడల్ defenders సిద్ధంగా లేకుండా చిక్కుకుపోయే అవకాశాన్ని తగ్గించడానికి రూపొందించబడింది.
ఈ ఘటన ఆ ప్రక్రియ విఫలమైనప్పుడు వచ్చే ప్రతికూలతను చూపిస్తుంది. Public pressure, పరిశోధకులు మరియు vendors మధ్య ఉన్న unresolved tensionsను బయటపెట్టగలదు, కానీ మధ్యలో చిక్కుకున్న సంస్థలు ఆ riskను స్వీకరించాల్సి వస్తుంది. ఒకసారి exploit వివరాలు అందుబాటులోకి వస్తే, safe patchingకు ఉన్న సమయం తీవ్రంగా తగ్గిపోతుంది.
అదే సమయంలో, source text ప్రకారం Microsoft ఇప్పటికే BlueHammerను ప్యాచ్ చేసింది, అంటే response pipelineలో కనీసం ఒక భాగం క్రియాశీలంగా ఉన్నట్లు తెలుస్తోంది. మరింత తక్షణ ఆందోళన మిగిలిన ప్రకటించిన సమస్యల స్థితి మరియు విస్తృత fixes కోసం ఎదురుచూస్తున్న సమయంలో సంస్థలకు స్పష్టమైన mitigation guidance ఉందా అన్నదే.
ఇది ఇప్పుడు సంస్థలకు ఏమి సూచిస్తోంది
అత్యంత ముఖ్యమైన తాత్కాలిక takeaway ఏమిటంటే, ఇవి ఇక సైద్ధాంతిక bugs కాదు. కనీసం ఒక సంస్థ ఇప్పటికే ప్రచురిత vulnerabilitiesను ఉపయోగించి compromise అయింది. ఇది కథను గమనించడంనుంచి దాన్ని active exposure-management issueగా భావించాల్సిన స్థితికి మార్చుతుంది.
Microsoft Defender ఉపయోగిస్తున్న security teams BlueHammer ప్యాచ్లు అమలయ్యాయా లేదా ధృవీకరించాలి, తాజా సూచనల కోసం Microsoft advisoriesను సమీక్షించాలి, మరియు unusual privilege escalation లేదా Defender tampering లక్షణాల కోసం systemsను పరిశీలించాలి. public exploit code ఇందులో ఉన్నందున, సంస్థలు copycat activity సంభవించవచ్చని కూడా అనుకోవాలి.
Enterprise security leaders కోసం మరో విస్తృత పాఠం ఉంది. Defensive strengthను ఎలాంటి tools ఇన్స్టాల్ అయ్యాయో దాని ఆధారంగా మాత్రమే కొలవలేం. vendors ఎంత వేగంగా patch చేస్తారు, సంస్థలు updatesను ఎంత వేగంగా deploy చేస్తాయి, మరియు security software itself attack pathలో భాగమయ్యేప్పుడు teams abuseను గుర్తించగలరా అన్నదానిపైనా అది ఆధారపడి ఉంటుంది.
తక్షణ కథ మూడు Windows flaws మరియు ఒక నిర్ధారిత intrusion గురించి. పెద్ద కథ ఏమిటంటే, offensive capability ఇప్పుడు పరిశోధకుడి blog post నుంచి operational useకు ఎంత వేగంగా చేరుతుందన్నది. ఆ వాతావరణంలో, patch latency, endpoint behaviorపై visibility, మరియు క్రమశిక్షణతో కూడిన incident response గతంలోకన్నా ఎక్కువ ముఖ్యమైనవి.
ఈ వ్యాసం TechCrunch నివేదికపై ఆధారపడింది. అసలు వ్యాసాన్ని చదవండి.
Originally published on techcrunch.com
