Kaip nepatenkinto tyrėjo kodas sugriovė „Windows Defender“ saugumo iliuziją

Daugelį metų kibernetinio saugumo pramonė veikė pagal trapią taikos sutartį, žinomą kaip koordinuotas pažeidžiamumų atskleidimas. Prielaida paprasta: tyrėjai randa spragą, praneša apie ją gamintojui ir laukia pataisos prieš paviešindami informaciją. Tai sistema, pagrįsta abipuse pagarba ir, svarbiausia, bendru tikslu užtikrinti vartotojų saugumą. Tačiau, kaip matėme per pastarąsias dvi savaites, ši sutartis yra tik tiek stipri, kiek stiprūs tyrėjo ir gamintojo santykiai. Kai šie santykiai virsta vieša pagieža, pasekmės dažnai būna sisteminės ir tiesioginės.

Šiuo metu stebime architektūrinį paradoksą, kai kelių milijardų dolerių vertės saugumo ekosistema, sukurta būti atspariausiu antivirusiniu sprendimu planetoje, yra griaunama kelių šimtų eilučių kodo, paskelbto viešoje „GitHub“ saugykloje. „Windows Defender“, tylusis milijonų įmonių galinių įrenginių sargas, tapo pagrindiniu vektoriu virtinei išnaudojimų (exploits), pavadintų „BlueHammer“, „UnDefend“ ir „RedSun“. Nors „Microsoft“ reklamavo „Defender“ kaip tvirtą, paruoštą naudoti sprendimą, galintį suvaldyti sudėtingus valstybinio lygio veikėjus, prireikė tik vieno nepatenkinto asmens, kad įrodytų, jog net griežčiausia gynyba yra pažeidžiama, kai vidinė logika atsukama prieš ją pačią.

Nuoskaudos anatomija ir „Chaotic Eclipse“ iškilimas

Už šių nutekinimų stovintis tyrėjas, žinomas kaip „Chaotic Eclipse“, nepradėjo nuo šių klaidų pardavimo tamsiajame žiniatinklyje ar pranešimo tarpininkui. Vietoj to jie pasirinko visiško atskleidimo kelią – taktinį branduolinį variantą „InfoSec“ pasaulyje. Remiantis jų tinklaraščio įrašais, motyvas buvo komunikacijos su „Microsoft Security Response Center“ (MSRC) nutrūkimas. Rizikos požiūriu tai yra košmariškas scenarijus bet kuriam saugumo vadovui (CISO). Viena yra gintis nuo slapto APT (nuolatinės grėsmės); visai kas kita – gintis nuo viešo, ginkluoto išnaudojimo kodo, kurį bet kuris pradedantysis programišius gali atsisiųsti ir paleisti viena komanda.

Per tuos metus, kai domiuosi grėsmių aplinka, mačiau daug tyrėjų, nusivylusių lėtu korporacijų klaidų taisymo tempu. Paprastai su šiais šaltiniais bendrauju per „Signal“ arba PGP šifruotus kanalus, ir nuotaikos dažnai būna tokios pačios: jie jaučiasi ignoruojami arba neįvertinti. Tačiau „Chaotic Eclipse“ žengė dar toliau, aiškiai padėkodamas MSRC vadovybei už tai, kad jie savo neveiksnumu sudarė sąlygas šiam atskleidimui. Tai ne tik techninė nesėkmė; tai žmogiškojo elemento nesėkmė pažeidžiamumų valdymo cikle.

Atakos grandinės sekimas: „BlueHammer“, „UnDefend“ ir „RedSun“

Trys pažeidžiamumai yra nukreipti į pagrindines „Windows Defender“ funkcijas, konkrečiai į tai, kaip jis tvarko aukšto lygio sistemos leidimus. Pagal savo konstrukciją antivirusinė programa privalo turėti gilią, detalią prieigą prie operacinės sistemos, kad galėtų nustatyti ir neutralizuoti grėsmes. Būtent šis aukštas privilegijų lygis daro ją tokiu patraukliu taikiniu. Jei galite pažeisti pačią saugumo programinę įrangą, jūs ne tik apeinate spyną; jūs įtikinate apsaugininką atidaryti jums seifą.

„BlueHammer“ pasirodė pirmasis. Jis leido lokaliai išplėsti privilegijas, o tai reiškia, kad vartotojas su ribota prieiga galėjo staiga tapti sistemos administratoriumi. „Microsoft“ pavyko išleisti šios klaidos pataisą anksčiau šią savaitę, tačiau žala jau buvo padaryta. Kaip atsakomąją priemonę daugelis organizacijų suskubo atnaujinti sistemas, tačiau po kelių dienų susidūrė su „UnDefend“ ir „RedSun“. Rašymo metu šie du pastarieji išlieka nepašalinti, palikdami didelę spragą bet kurios organizacijos, besikliaujančios tik gimtosiomis „Windows“ saugumo priemonėmis, gynyboje.

Žvelgiant į grėsmių aplinką, greitis, kuriuo šie išnaudojimai tapo ginklais, yra stulbinantis. „Huntress“ – įmonė, žinoma dėl gilios teismo ekspertizės analizės, patvirtino, kad bent viena organizacija jau buvo pažeista naudojant šiuos konkrečius įrankius. Programišiams nereikėjo būti genijais; jiems tiesiog reikėjo būti greitiems. Jie paėmė paruoštus „Chaotic Eclipse“ pateiktus įrankius ir integravo juos į savo esamas kenkėjiškas darbo eigas dar prieš tai, kai dauguma IT komandų spėjo perskaityti pirmąsias naujienų ataskaitas.

Visiško atskleidimo dilema ir žmogiškoji užkarda

Mūsų bendruomenėje jau seniai vyksta diskusijos dėl visiško atskleidimo. Vieni teigia, kad tai vienintelis būdas priversti tokį lėtą milžiną kaip „Microsoft“ teikti pirmenybę saugumui, o ne naujoms funkcijoms. Kiti tai laiko skaitmeniniu padegimu. Žvelgiant proaktyviai, išnaudojimo kodo paskelbimas be pataisos yra tarsi skylės laivo korpuse rodymas, kai laivas yra vidury Atlanto vandenyno. Galbūt jūs ir teisus dėl skylės, bet taip pat užtikrinate, kad visiems esantiems laive kiltų tiesioginis pavojus.

Įvykus pažeidimui, kaltė dažnai verčiama IT skyriui dėl to, kad šis neįdiegė pataisų. Tačiau, atmetus pataisas, turime pažvelgti į sisteminę pasitikėjimo problemą. Dešimtmetį vartotojams sakėme, kad „Windows Defender“ pakanka – kad tai yra kritiškai svarbus šiuolaikinio saugumo sistemos komponentas. Kai šis pasitikėjimas sugriaunamas, atsiranda vakuumas, kurį kenkėjiški veikėjai mielai užpildo. Tinklo perimetras, kokį jį kažkada žinojome, yra pasenęs pilies griovys; jei pilies viduje esantys sargybiniai patys įleidžia Trojos arklį, sienų aukštis nebeturi reikšmės.

Atakos paviršiaus vertinimas pasaulyje po „Eclipse“

Tiems iš mūsų, kurie tuo gyvena ir kvėpuoja, „Chaotic Eclipse“ incidentas yra priminimas, kad jokia sistema nėra pakankamai decentralizuota ar tvirta, kad būtų atspari pasiryžusiam vidiniam asmeniui ar nusivylusiam bendradarbiui. Užkulisiuose SOC analitikai šiuo metu lenktyniauja su savo priešininkais, kurdami pasirinktines aptikimo taisykles, kurios galėtų pagauti specifinius šių išnaudojimų parašus. Tačiau tai yra reaktyvus žaidimas.

Galutinio vartotojo požiūriu, rizika yra didelė, tačiau valdoma, jei suprantate atakos paviršių. Šiems išnaudojimams paprastai reikia pradinio įsitvirtinimo kompiuteryje. Tai nėra magiškos nuotolinio kodo vykdymo klaidos, galinčios sklisti internetu – bent jau dar ne. Tai įrankiai judėjimui tinkle ir privilegijų išplėtimui. Tai reiškia, kad jūsų pagrindinė gynyba vis dar yra žmogiškoji užkarda. Jei galite sustabdyti pradinį sukčiavimo (phishing) el. laišką arba neteisėtą programinės įrangos atsisiuntimą, užpuolikas niekada negaus progos paleisti „RedSun“ ar „UnDefend“.

Praktinė gynyba: ne tik pataisos

Laukti, kol „Microsoft“ išleis „UnDefend“ ir „RedSun“ pataisas, yra būtina, bet nepakankama strategija. Turime judėti link atsparesnės pozicijos, kuri nesiremtų vienu gedimo tašku. Čia atsiranda „Zero Trust“ (nulinio pasitikėjimo) koncepcija – elgtis kaip VIP klubo apsaugininkas prie kiekvienų vidinių durų. Vien tai, kad procesas teigia esantis „Windows Defender“ dalis, nereiškia, kad jam turėtų būti suteikta neteisėta prieiga prie branduolio (kernel) be antrinio patikrinimo.

Jei šiandien valdote tinklą, turėtumėte ieškoti specifinių kompromitavimo indikatorių (IoC), susijusių su šiais išnaudojimais. Tai apima neįprastų paslaugų registracijų ir netikėtų „Defender“ konfigūracijos failų pakeitimų stebėjimą. Kalbant apie duomenų vientisumą, taip pat turėtumėte audituoti, kas turi vietinio administratoriaus teises. Jei vartotojui jų nereikia, atimkite jas. Paskyrų, kurios gali bent bandyti išplėsti privilegijas, skaičiaus sumažinimas yra paprastas ir veiksmingas būdas susiaurinti atakos paviršių.

Pagrindinės įžvalgos IT vadovams ir vartotojams

• Audituokite vietinio administratoriaus teises: „Chaotic Eclipse“ išnaudojimai remiasi privilegijų išplėtimu. Jei vartotojas nėra administratorius, šių klaidų poveikis gerokai sumažėja.
• Įdiekite daugiasluoksnę gynybą: nepasikliaukite vien tik „Windows Defender“. Naudokite trečiųjų šalių EDR (Endpoint Detection and Response) įrankius, kurie gali pateikti antrąją nuomonę ir aptikti elgsenos anomalijas, kurias „Defender“ gali praleisti, kol yra pažeidžiamas.
• Stebėkite „šešėlinį IT“: nepatatvarkytos sistemos dažnai yra korporacinio tinklo „tamsioji materija“. Naudokite skenavimo įrankius, kad užtikrintumėte, jog kiekvienas jūsų tinklo įrenginys yra apskaitytas ir jame įdiegti naujausi saugumo atnaujinimai.
• Peržiūrėkite reagavimo į incidentus planus: įvykus pažeidimui, susijusiam su šiais išnaudojimais, jūsų komanda turi turėti aiškų, iš anksto nustatytą planą. Tai apima paveiktų mašinų izoliavimą ir nuodugnų teismo ekspertizės tyrimą, siekiant įsitikinti, kad neliko jokių įsitvirtinimo mechanizmų.
• Likite informuoti per patikimus kanalus: venkite FUD (baimės, netikrumo, abejonių), paplitusio socialiniuose tinkluose. Sekite patikrintus tyrėjus ir gamintojus, kurie teikia naudingą informaciją, o ne tik gąsdinančias antraštes.

Šaltiniai

• Microsoft Security Response Center (MSRC) Vulnerability Guidelines
• Huntress Labs Incident Report on Chaotic Eclipse Exploits
• NIST Special Publication 800-209: Security Guidelines for Storage Infrastructure
• MITRE ATT&CK Framework: T1068 (Exploitation for Privilege Escalation)
• TechCrunch Cybersecurity Reporting on Windows Defender Flaws

Atsakomybės apribojimas: šis straipsnis yra skirtas tik informaciniams ir edukaciniams tikslams. Tai nėra profesionali teisinė ar kibernetinio saugumo konsultacija. Organizacijos turėtų atlikti savo rizikos vertinimą ir pasitarti su sertifikuotais saugumo profesionalais prieš atlikdamos reikšmingus infrastruktūros ar reagavimo į incidentus protokolų pakeitimus.