- Un ricercatore ha pubblicato gli exploit di tre vulnerabilità in Windows Defender (BlueHammer, UnDefend e RedSun) prima che Microsoft rilasciasse le relative patch. Solo BlueHammer ha ricevuto una correzione, mentre le altre due rimangono vulnerabili.
- Gli hacker stanno già utilizzando il codice exploit per condurre attacchi mirati. La pratica della divulgazione completa senza coordinamento con il produttore espone milioni di utenti a rischi concreti.
- Microsoft sostiene che la divulgazione coordinata sia l'approccio corretto per proteggere la comunità e gli utenti da exploit pubblici.
Le vulnerabilità di sicurezza rappresentano da sempre uno dei talloni d’Achille dei sistemi operativi più diffusi. Quando queste vengono rese pubbliche prima che il produttore abbia rilasciato una correzione, la situazione diventa particolarmente critica. Negli ultimi giorni diversi attacchi informatici hanno confermato quanto questo rischio sia concreto.
Secondo quanto riportato da Huntress, società specializzata in cybersicurezza, almeno un’organizzazione sarebbe stata compromessa sfruttando tre difetti di sicurezza in Windows resi noti nelle ultime due settimane. Le vulnerabilità sono state pubblicate online da un ricercatore che ha dichiarato apertamente di voler forzare la mano a Microsoft dopo alcuni dissapori.
Tre vulnerabilità nel mirino
I difetti di sicurezza in questione sono stati battezzati BlueHammer, UnDefend e RedSun. Tutte e tre le falle riguardano Windows Defender, il software antivirus integrato nei sistemi operativi di Redmond, e permettono a un aggressore di ottenere privilegi amministrativi su un computer compromesso.
Al momento solo BlueHammer ha ricevuto una patch ufficiale, rilasciata da Microsoft all’inizio di questa settimana. Per le altre due vulnerabilità non esiste ancora una correzione disponibile, lasciando potenzialmente esposti milioni di utenti. I ricercatori di Huntress hanno confermato che gli hacker stanno utilizzando il codice exploit pubblicato dal ricercatore per portare a termine gli attacchi, sebbene non siano stati resi noti né l’identità dei responsabili né quella delle vittime.
La controversia dietro la pubblicazione
Il ricercatore che si firma come Chaotic Eclipse ha reso disponibili gli exploit attraverso il proprio blog e una pagina GitHub. Nelle note pubblicate, ha fatto esplicito riferimento a tensioni con Microsoft, ringraziando sarcasticamente il Microsoft Security Response Center, il team interno che si occupa di gestire le segnalazioni di vulnerabilità e le indagini su incidenti di sicurezza.
Si tratta di un caso di full disclosure, una pratica che consiste nel rendere pubbliche le informazioni su una vulnerabilità senza attendere che il produttore rilasci una correzione. Solitamente i ricercatori di sicurezza collaborano con le aziende seguendo un processo definito: inviano la segnalazione in forma riservata, attendono che venga sviluppata una patch e solo successivamente pubblicano i dettagli tecnici del problema. In alcuni casi, però, questa comunicazione si interrompe, spingendo alcuni a divulgare le informazioni anzitempo.
Le conseguenze per la sicurezza
Quando il codice per sfruttare una vulnerabilità viene pubblicato prima della patch, la situazione si complica rapidamente. Criminali informatici, gruppi sponsorizzati da governi e altri attori ostili possono scaricare il codice e utilizzarlo immediatamente per condurre attacchi.
John Hammond, ricercatore di Huntress che sta seguendo il caso, ha spiegato che situazioni di questo tipo innescano una corsa contro il tempo tra difensori e aggressori. Gli strumenti sono già pronti all’uso, facilmente accessibili e non richiedono competenze particolarmente avanzate per essere impiegati. Questo abbassa drasticamente la barriera d’ingresso per chiunque voglia tentare un attacco.
Microsoft, contattata per un commento, ha ribadito la propria posizione a favore della divulgazione coordinata delle vulnerabilità, un approccio adottato dalla maggior parte dell’industria per garantire che i problemi vengano analizzati e risolti prima della diffusione pubblica. Ben Hope, direttore delle comunicazioni dell’azienda, ha sottolineato come questa prassi protegga sia gli utenti sia la comunità di ricercatori di sicurezza.
Al momento non è chiaro quando Microsoft rilascerà le patch per UnDefend e RedSun. Nel frattempo, gli amministratori di sistema sono chiamati a monitorare attentamente i propri ambienti e a implementare misure di mitigazione dove possibile, in attesa di aggiornamenti ufficiali.
