0
0
A resposta para a pergunta “Por que o software continua a ter tantas vulnerabilidades?” é complexa, porque o software em si é tão complexo.
Houve muitos artigos escritos que cobrem a falta de ferramentas para testar vulnerabilidades, o conhecimento de segurança e a experiência dos próprios desenvolvedores, as infinitas variações de interações entre sistemas operacionais e aplicativos e a complexidade dos ambientes de rede nos quais o software é implantado para citar apenas alguns fatores contribuintes.
Pesquisas em andamento continuam a encontrar mais vulnerabilidades e, ocasionalmente, algumas informações sobre como removê-las antes de irem para a natureza. Ainda assim, é uma corrida para ficar à frente da ameaça implacável.
Iniciativa Dia Zero
A Zero Day Initiative (ZDI) é um programa de pesquisa que contribui para a descoberta precoce de vulnerabilidades e compartilha suas descobertas com os fornecedores para uma resposta rápida. Os pesquisadores são incentivados por meio de uma recompensa de bugs e a confidencialidade é estritamente mantida até que o fornecedor tenha fornecido uma correção.
A ZDI sediou sua conferência PWN2OWN VANCOUVER 2023 no final de março com alguns resultados sempre empolgantes. Os alvos mais penetrados com sucesso sob ataque foram o Windows 11, o Ubuntu Desktop e o Oracle VirtualBox.
Também foram concedidos prêmios pela exploração do Apple macOS, Adobe Reader, Microsoft SharePoint, VMware Workstation e até mesmo um Tesla na categoria automotiva. De acordo com o blog da ZDI: “Os concorrentes divulgaram 27 zero-dias únicos e ganharam um combinado de US $ 1.035.000 (e um carro)!” A boa notícia é que esses problemas em breve terão correções a caminho.
Ataques na natureza
Infelizmente, os ataques também continuaram na natureza este mês sem os benefícios de divulgações e correções imediatas. A 3CX relatou um problema de segurança com seu aplicativo Electron em execução no Windows e no macOS. Esse problema de segurança parece ser o resultado de um ataque à cadeia de suprimentos. Tornando as coisas mais complexas, a Kaspersky descobriu um malware backdoor de segundo estágio que aproveita a vulnerabilidade CVE-10-2013 de 3900 anos.
Esta vulnerabilidade foi corrigida, mas o patch só foi classificado como “recomendado” pela Microsoft. Isso traz à mente o meu blog em janeiro, onde eu comentei sobre procrastinar por sua conta e risco. Sim, esse patch de 10 anos foi originalmente lançado como “recomendado” porque naquela época ele poderia quebrar personalizações que os clientes podem ter feito com a assinatura digital de atualizações; mas muito tempo se passou e os administradores deveriam ter substituído suas personalizações para resolver esse problema. Esta atualização deve ser obrigatória para evitar a exploração recente.
A Microsoft anunciou que está mudando as atualizações de pré-visualização não relacionadas à segurança para a quarta semana do mês. De acordo com a Microsoft, isso é “duas semanas após a última atualização de segurança mensal e cerca de duas semanas antes de você ver esses recursos se tornarem parte da próxima atualização cumulativa obrigatória”, que é o momento ideal para testes. O Microsoft Windows 10 20H2 para Educação e Empresa chega ao fim do suporte em maio, portanto, planeje de acordo.
Previsão de Patch Tuesday de abril de 2023
- A Microsoft intensificou as correções de segurança em seus sistemas operacionais, então devemos ver essa tendência continuar. Da mesma forma, vimos mais atualizações para o pacote Office, portanto, planeje que suas versões locais e clique para executar tenham atualizações importantes.
- O Adobe Acrobat e o Reader devem ter uma grande atualização trimestral na próxima semana.
- 27 de março foi um grande dia para a Apple com o lançamento do Big Sur 11.7.5, Monterey 12.6.4, Ventura 13.3 e Safari 16.4 para Big Sur e Monterey. Não espere atualizações este mês, mas implante essas versões o mais rápido possível.
- O Google lançou atualizações beta para o Chrome OS e o Chrome para desktop, para que possa haver um lançamento formal para eles na próxima semana.
- A Mozilla continuou a lançar no Patch Tuesday em março, então espere atualizações para o Firefox, Firefox ESR e Thunderbird na próxima semana.
Descobrir e corrigir vulnerabilidades antes da exploração é uma corrida sem fim. Muitas vezes puxados como participantes relutantes, é fundamental que mantenhamos o ritmo e atualizemos nossos sistemas à medida que os patches são lançados para ficar um passo à frente da concorrência.
FONTE: HELPNET SECURITY