Kā neapmierināta pētnieka kods sagrāva ilūziju par Windows Defender drošību

Gadiem ilgi kiberdrošības nozare ir darbojusies saskaņā ar trauslu miera līgumu, kas pazīstams kā koordinēta ievainojamību atklāšana. Pieņēmums ir vienkāršs: pētnieki atrod caurumu, paziņo par to pārdevējam un gaida ielāpu, pirms publisko informāciju. Tā ir sistēma, kas balstīta uz savstarpēju cieņu un, kas ir vēl svarīgāk, uz kopīgu mērķi nodrošināt lietotāju drošību. Bet, kā mēs redzējām pēdējo divu nedēļu laikā, šis līgums ir tikai tik spēcīgs, cik spēcīgas ir attiecības starp pētnieku un pārdevēju. Kad šīs attiecības pārvēršas publiskā žultī, rezultāti bieži vien ir sistēmiski un tūlītēji.

Pašlaik mēs vērojam arhitektonisku paradoksu, kur vairāku miljardu dolāru vērtu drošības ekosistēmu, kas izstrādāta kā visizturīgākais pretvīrusu risinājums uz planētas, noārda daži simti koda rindiņu, kas publicētas publiskā GitHub repozitorijā. Windows Defender, miljoniem uzņēmumu galiekārtu klusais aizstāvis, ir kļuvis par galveno vektoru virknei ekspluatāciju, kas nodēvētas par BlueHammer, UnDefend un RedSun. Lai gan Microsoft reklamēja Defender kā stabilu, tūlītējai lietošanai gatavu risinājumu, kas spēj novērst sarežģītus valstu atbalstītu hakeru uzbrukumus, bija vajadzīgs tikai viens neapmierināts indivīds, lai pierādītu, ka pat visstingrākā aizsardzība ir ievainojama, ja iekšējā loģika tiek vērsta pret to pašu.

Aizvainojuma anatomija un Chaotic Eclipse uzplaukums

Pētnieks, kurš stāv aiz šīm noplūdēm un ir pazīstams kā Chaotic Eclipse, nesāka ar šo kļūdu pārdošanu tumšajā tīmeklī vai ziņošanu par tām starpniekam. Tā vietā viņš izvēlējās pilnīgas atklāšanas ceļu — taktisko kodolieroci InfoSec pasaulē. Saskaņā ar viņa emuāra ierakstiem, motivācija bija komunikācijas sabrukums ar Microsoft drošības reaģēšanas centru (MSRC). No riska perspektīvas tas ir murgains scenārijs jebkuram CISO. Viena lieta ir aizsargāties pret slepenu APT; pavisam cita ir aizsargāties pret publisku, militarizētu ekspluatāciju, kuru jebkurš "skriptu bērns" var lejupielādēt un izpildīt ar vienu komandu.

Savu gadu laikā, atspoguļojot draudu vidi, esmu redzējis daudzus pētniekus, kuri kļūst neapmierināti ar korporatīvo ielāpu izstrādes lēno tempu. Es parasti sazeros ar šiem avotiem, izmantojot Signal vai PGP šifrētus kanālus, un noskaņojums bieži vien ir līdzīgs: viņi jūtas ignorēti vai nenovērtēti. Tomēr Chaotic Eclipse spēra soli tālāk, tieši pateicoties MSRC vadībai par to, ka tā ar savu šķietamo bezdarbību padarīja šo atklāšanu iespējamu. Tā nav tikai tehniska kļūme; tā ir cilvēciskā elementa kļūme ievainojamību pārvaldības dzīves ciklā.

Uzbrukuma ķēdes izsekošana: BlueHammer, UnDefend un RedSun

Trīs ievainojamības ir vērstas uz Windows Defender pamatfunkcionalitāti, konkrēti uz to, kā tas apstrādā augsta līmeņa sistēmas atļaujas. Pēc konstrukcijas pretvīrusam ir jābūt dziļai, granulārai piekļuvei operētājsistēmai, lai identificētu un neitralizētu draudus. Šis augstais privilēģiju līmenis ir tieši tas, kas padara to par tik ienesīgu mērķi. Ja varat kompromitēt pašu drošības programmatūru, jūs ne tikai apejat slēdzeni; jūs pārliecināt apsargu atvērt jums seifu.

BlueHammer bija pirmais, kas parādījās. Tas ļāva veikt lokālo privilēģiju paaugstināšanu, kas nozīmē, ka lietotājs ar ierobežotu piekļuvi pēkšņi varēja kļūt par sistēmas administratoru. Microsoft paspēja izlaist ielāpu šai kļūdai šīs nedēļas sākumā, taču kaitējums jau bija nodarīts. Kā pretpasākumu daudzas organizācijas steidza veikt atjaunināšanu, lai pēc dažām dienām saskartos ar UnDefend un RedSun. Rakstīšanas brīdī pēdējie divi joprojām nav salaboti, atstājot plašu robu jebkuras organizācijas aizsardzībā, kura paļaujas tikai uz Windows vietējiem drošības rīkiem.

Aplūkojot draudu ainavu, ātrums, ar kādu šīs ekspluatācijas tika militarizētas, ir satriecošs. Huntress, firma, kas pazīstama ar savu padziļināto galiekārtu uzvedības tiesu ekspertīzi, apstiprināja, ka vismaz viena organizācija jau ir tikusi kompromitēta, izmantojot šos konkrētos rīkus. Hakeriem nebija jābūt ģēnijiem; viņiem vienkārši bija jābūt ātriem. Viņi paņēma Chaotic Eclipse sagatavotos uzbrucēju rīkus un integrēja tos savās esošajās ļaunprātīgajās darba plūsmās, pirms lielākā daļa IT komandu vispār paspēja izlasīt pirmos ziņu ziņojumus.

Pilnīgas atklāšanas dilemma un cilvēka ugunsmūris

Mūsu kopienā jau sen notiek debates par pilnīgu atklāšanu (full disclosure). Daži apgalvo, ka tas ir vienīgais veids, kā piespiest tādu lēni kustošos gigantu kā Microsoft par prioritāti izvirzīt drošību, nevis funkcijas. Citi to uzskata par digitālu dedzināšanu. Proaktīvi runājot, ekspluatācijas koda publicēšana bez ielāpa ir kā norādīšana uz caurumu kuģa korpusā, kamēr kuģis atrodas Atlantijas okeāna vidū. Jums var būt taisnība par caurumu, taču jūs arī nodrošināt, ka visi uz klāja esošie ir tūlītējās briesmās.

Pārkāpuma gadījumā vaina bieži tiek uzvelta IT nodaļai par nespēju uzstādīt ielāpus. Taču, atstājot ielāpus malā, mums ir jāskatās uz sistēmisko uzticības jautājumu. Mēs esam pavadījuši desmit gadus, stāstot lietotājiem, ka ar Windows Defender pietiek — ka tas ir kritiski svarīgs mūsdienu drošības steka komponents. Kad šī uzticība tiek salauzta, rodas vakuums, kuru ļaunprātīgi dalībnieki labprāt aizpilda. Tīkla perimetrs, kādu mēs to kādreiz pazinām, ir novecojis pils grāvis; ja apsargi pils iekšienē ir tie, kas ielaiž Trojas zirgu, sienu augstumam nav nozīmes.

Uzbrukuma virsmas novērtēšana pasaulē pēc Eclipse

Tiem no mums, kuri dzīvo un elpo ar šīm lietām, Chaotic Eclipse incidents ir atgādinājums, ka neviena sistēma nav pietiekami decentralizēta vai robusa, lai būtu imūna pret mērķtiecīgu iekšējās informācijas turētāju vai neapmierinātu līdzstrādnieku. Aiz kulisēm SOC analītiķi pašlaik sacenšas ar saviem pretiniekiem, lai izveidotu pielāgotus noteikšanas noteikumus, kas var notvert šo ekspluatāciju specifiskos parakstus. Bet tā ir reaktīva spēle.

No galalietotāja viedokļa risks ir augsts, taču pārvaldāms, ja saprotat uzbrukuma virsmu. Šīm ekspluatācijām parasti ir nepieciešams sākotnējais atbalsta punkts mašīnā. Tie nav maģiski attālināta koda izpildes kļūdas, kas var pārlēkt pāri internetam — vismaz vēl nē. Tie ir rīki laterālajai kustībai un privilēģiju paaugstināšanai. Tas nozīmē, ka jūsu galvenā aizsardzība joprojām ir cilvēka ugunsmūris. Ja varat apturēt sākotnējo pikšķerēšanas e-pastu vai neautorizētas programmatūras lejupielādi, uzbrucējs nekad nesaņem iespēju palaist RedSun vai UnDefend.

Praktiskā aizsardzība: vairāk nekā tikai ielāps

Gaidīt, kamēr Microsoft izlaidīs ielāpu priekš UnDefend un RedSun, ir nepieciešama, bet nepietiekama stratēģija. Mums ir jāvirzās uz izturīgāku pozīciju, kas nepaļaujas uz vienu atteices punktu. Šeit parādās Nulles uzticamības (Zero Trust) koncepcija — rīkojoties kā VIP kluba apsargam pie katrām iekšējām durvīm. Tikai tāpēc, ka process apgalvo, ka ir daļa no Windows Defender, nenozīmē, ka tam būtu jāpiešķir neautorizēta piekļuve kodolam bez sekundāras pārbaudes.

Ja šodien pārvaldāt tīklu, jums vajadzētu meklēt konkrētus kompromitēšanas indikatorus (IoC), kas saistīti ar šīm ekspluatācijām. Tas ietver neparastu pakalpojumu reģistrāciju un negaidītu izmaiņu uzraudzību Defender konfigurācijas failos. Runājot par datu integritāti, jums vajadzētu arī revidēt, kam ir lokālā administratora tiesības. Ja lietotājam tās nav vajadzīgas, atņemiet tās. To kontu skaita samazināšana, kuri vispār var mēģināt paaugstināt privilēģijas, ir vienkāršs un efektīvs veids, kā samazināt uzbrukuma virsmu.

Galvenie secinājumi IT vadītājiem un lietotājiem

• Auditējiet lokālā administratora tiesības: Chaotic Eclipse ekspluatācijas balstās uz privilēģiju paaugstināšanu. Ja lietotājs nav administrators, šo kļūdu ietekme tiek ievērojami mazināta.
• Ieviesiet daudzslāņu aizsardzību: nepaļaujieties tikai uz Windows Defender. Izmantojiet trešo pušu EDR (Endpoint Detection and Response) rīkus, kas var sniegt otru viedokli un noteikt uzvedības anomālijas, kuras Defender varētu nepamanīt, kamēr tas tiek kompromitēts.
• Uzraugiet "Shadow IT": sistēmas bez ielāpiem bieži ir korporatīvā tīkla "tumšā matērija". Izmantojiet skenēšanas rīkus, lai nodrošinātu, ka katra ierīce jūsu tīklā ir uzskaitīta un tajā ir instalēti jaunākie drošības atjauninājumi.
• Pārskatiet incidentu reaģēšanas plānus: gadījumā, ja notiek pārkāpums, kurā izmantotas šīs ekspluatācijas, jūsu komandai ir nepieciešams skaidrs, iepriekš noteikts plāns. Tas ietver ietekmēto mašīnu izolēšanu un rūpīgu tiesu ekspertīzes izmeklēšanu, lai nodrošinātu, ka nav atstāti nekādi paliekoši mehānismi (persistence).
• Esiet informēti, izmantojot uzticamus kanālus: izvairieties no FUD (bailēm, nenoteiktības, šaubām), kas dominē sociālajos tīklos. Sekojiet pārbaudītiem pētniekiem un pārdevējiem, kuri sniedz praktiski izmantojamu informāciju, nevis tikai satraucošus virsrakstus.

Avoti

• Microsoft Security Response Center (MSRC) Vulnerability Guidelines
• Huntress Labs Incident Report on Chaotic Eclipse Exploits
• NIST Special Publication 800-209: Security Guidelines for Storage Infrastructure
• MITRE ATT&CK Framework: T1068 (Exploitation for Privilege Escalation)
• TechCrunch Cybersecurity Reporting on Windows Defender Flaws

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem mērķiem. Tas nav uzskatāms par profesionālu juridisko vai kiberdrošības padomu. Organizācijām pirms būtisku izmaiņu veikšanas savā infrastruktūrā vai incidentu reaģēšanas protokolos jāveic savi riska novērtējumi un jākonsultējas ar sertificētiem drošības speciālistiem.