Експерти з кібербезпеки компанії Huntress виявили та попередили про активну експлуатацію трьох вразливостей нульового дня (zero-day) у програмному забезпеченні Microsoft Defender. Ці критичні недоліки дозволяють зловмисникам, які вже отримали початковий доступ до системи, значно підвищити свої привілеї, що є ключовим етапом у реалізації складних кібератак. Виявлення активної експлуатації підкреслює нагальну потребу в увазі до цих проблем.
Три вразливості, що отримали кодові назви BlueHammer, RedSun та UnDefend, були оприлюднені дослідником під псевдонімом Chaotic Eclipse. Усі вони були випущені як zero-day, тобто їхня експлуатація почалася до того, як розробник (Microsoft) випустив офіційні патчі. Основна загроза від цих вразливостей полягає у можливості підвищення привілеїв (privilege escalation), що дозволяє атакуючим отримати контроль над системою на рівні адміністратора або системи.
- BlueHammer: Деталі цієї вразливості вимагають входу на GitHub для ознайомлення, що може свідчити про її специфічний характер або складність.
- RedSun: Як і інші, дозволяє підвищення привілеїв.
- UnDefend: Також використовується для підвищення привілеїв у скомпрометованих системах.
На момент публікації, дві з трьох вразливостей залишаються без офіційних патчів від Microsoft, що створює вікно для подальшої експлуатації.
Ці вразливості становлять загрозу для широкого кола користувачів та організацій, які використовують продукти Microsoft Defender для захисту своїх систем. До них належать:
- Корпоративні мережі: Організації будь-якого розміру, що покладаються на Microsoft Defender для захисту робочих станцій та серверів.
- Державні установи: Установи, які використовують рішення Microsoft у своїй ІТ-інфраструктурі.
- ІТ-фахівці та аналітики: Ті, хто відповідає за безпеку систем, повинні бути особливо пильними.
Особливо вразливими є системи, де зловмисники вже отримали початковий доступ, оскільки ці zero-day дозволяють їм закріпитися та розширити свій вплив у мережі.
З огляду на активну експлуатацію та відсутність патчів для деяких вразливостей, рекомендується вжити наступних заходів:
- Моніторинг та виявлення: Посилити моніторинг систем на предмет незвичайної активності, особливо пов'язаної з підвищенням привілеїв.
- Застосування патчів: Негайно встановлювати всі доступні оновлення безпеки від Microsoft, як тільки вони будуть випущені, навіть якщо вони стосуються лише однієї з трьох вразливостей.
- Принцип найменших привілеїв: Забезпечити, щоб користувачі та програми працювали з мінімально необхідними привілеями, щоб обмежити потенційний збиток у разі компрометації.
- Сегментація мережі: Використовувати сегментацію мережі для обмеження горизонтального переміщення зловмисників у разі успішної експлуатації.
- Резервне копіювання: Регулярно створювати резервні копії критичних даних та перевіряти їхню цілісність.