O ataque contínuo de ataques de phishing , implantação de ransomware e outras explorações está forçando a comunidade a prestar mais atenção à identificação precoce, bem como à resposta rápida, às vulnerabilidades em seu software. Somente em julho, a Microsoft abordou 84 CVEs no Windows 11, 99 no Windows 10 e até 69 no Windows Server 2012. A boa notícia é que a atenção nos testes de segurança e no fornecimento de melhores ferramentas de segurança está aumentando.
CVSS 4.0
A pré-visualização pública do CVSS 4.0 terminou esta semana, oferecendo a última oportunidade para adicionar a esta importante ferramenta de segurança. Os comentários estão em análise e a FIRST tem como alvo a publicação em 1º de outubro deste ano. As mudanças foram substanciais o suficiente para solicitar uma mudança de versão de 3.1. Para iniciantes no CVSS, as mudanças de nomenclatura serão bem-vindas. As métricas ‘temporais’ foram renomeadas para métricas ‘Ameaças’, que se alinham aos padrões do setor. A FIRST também esclareceu a terminologia com designadores de Base, Ambiente e Ameaça, o que mostra claramente os fatores usados no cálculo.
Por exemplo, o CVSS-B usa apenas métricas de base para calcular a pontuação de gravidade ‘pura’ da vulnerabilidade na ausência de ambiente e ameaça, enquanto o CVSS-BTE leva em consideração as métricas de base, ambiente e ameaça que fornecem o risco associado com a vulnerabilidade. Este é um grande passo para fornecer uma compreensão clara do que cada pontuação abrange.
Uma seção adicional a ser considerada é o novo Grupo de Métricas Suplementares, que fornece informações sobre automação, recuperação, esforço de resposta à vulnerabilidade e outros fatores importantes associados à vulnerabilidade e que podem ser importantes para você priorizar as atualizações em sua rotina regular de aplicação de patches. . O CVSS continua a evoluir, continuando a ser um fator relevante e importante nos nossos processos de correção; fique atento ao lançamento final ainda este ano.
A vulnerabilidade Log4j forneceu foco na necessidade de mais testes de segurança durante o desenvolvimento de software. De acordo com alguns relatórios recentes, os desenvolvedores estão gastando mais tempo em análises e testes de segurança, mas ainda é menos de 50% de todas as empresas. A vantagem é que 94% dessas empresas melhoraram os processos de teste que tinham antes da exposição Log4j.
A outra boa notícia é que o tempo de correção foi reduzido em quase 50% no software de código aberto durante 2022. É claro que os testes de segurança de software continuarão a evoluir e estão aumentando atualmente, o que ajuda a todos nós.
Vulnerabilidades Ivanti
A Ivanti continua sua investigação sobre duas vulnerabilidades críticas que foram divulgadas publicamente ao mesmo tempo em que um patch estava disponível em 24 e 28 de julho, respectivamente. As vulnerabilidades no Ivanti Endpoint Manager Mobile (EPMM) foram utilizadas em ataques direcionados.
CISA e NCSC-NO lançaram um comunicado conjunto de segurança cibernética sobre CVE-2023-35078 e CVE-2023-35081 em 1º de agosto de 2023 e instaram as organizações a aplicar os patches lançados pela organização. A Ivanti continua trabalhando ativamente com os clientes para atualizar seus aparelhos e ajudá-los a aplicar a correção.
Orientação de correção
Para clientes com versões atualmente suportadas do EPMM, a recomendação é aplicar a correção mais recente para CVE-2023-35081 . Se você estiver em uma versão sem suporte, a Ivanti recomenda a atualização, mas as opções de mitigação estão disponíveis para CVE-2023-35078 nesta página do KB para aqueles em execução em versões sem suporte.
Versões compatíveis com EPMM (11.8.1.1, 11.9.1.1,11.10.0.2)
- Atualize o EPMM com versões de patch (11.8.1.2, 11.9.1.2 e 11.10.0.3) no portal do gerenciador do sistema.
Versões sem suporte do EPMM (<11.8.1.1)
- Ivanti recomenda que você atualize para a versão mais recente do EPMM para garantir que você tenha as correções de segurança e estabilidade mais recentes. Mais informações sobre a atualização podem ser encontradas aqui.
Previsão do Patch Tuesday de agosto de 2023
- Após o grande número de CVEs abordados pela Microsoft no mês passado, podemos ver um pequeno retrocesso nos CVEs abordados nos sistemas operacionais e aplicativos do Office. Sempre existe a possibilidade de uma atualização do .NET Framework ou do SQL Server, portanto, fique atento.
- Você acredita que a última atualização de segurança para Acrobat e Reader veio em 11 de abril? Esteja atento a um este mês.
- 24 de julho foi a segunda-feira do patch para a Apple. Eles lançaram atualizações de segurança para Big Sur, Monterey, Venture, iOS e iPadOS. Lembre-se de que isso inclui todas as atualizações de resposta rápida fornecidas desde a última grande atualização. Provavelmente não veremos nenhuma atualização da Apple na próxima semana.
- O canal de suporte de longo prazo para o Chrome OS 108.0.5359.239 foi atualizado esta semana, abordando 6 vulnerabilidades de classificação alta e 2 médias. Da mesma forma, o Stable Channel for Desktop foi atualizado para 115.0.5790.170 para Mac e Linux e 115.0.5790.170/.171 para Windows. Ele abordou 17 vulnerabilidades com 9 classificadas como Altas e 2 Médias. A versão beta do Chrome 116 também foi lançada, então podemos ver uma versão GA na próxima semana.
- A Mozilla lançou atualizações de segurança esta semana para Firefox 116, Firefox ESR e Thunderbird 115.1 e, finalmente, Firefox ESR e Thunderbird 102.14. Com todos esses lançamentos recentes, não espero outra atualização na próxima semana.
Parece que todas as principais atualizações de software de terceiros foram lançadas, com a possível exceção de um lançamento da Adobe, então o foco está na Microsoft este mês.
FONTE: HELP NET SECURITY