0
0
Patch Tuesday cai no Dia dos Namorados este ano, mas será uma data especial? Embora tenha havido ataques cibernéticos contínuos de todos os tipos, tem sido relativamente silencioso o lançamento de novos patches da Microsoft. Espere que essa tendência continue na próxima semana, embora possamos ter algumas atualizações do Google e da Mozilla para preencher o dia.
Uma antiga vulnerabilidade no VMware ESXi sendo alvo de um novo ransomware tem sido o tema principal deste mês. A VMware lançou um patch em 2021 que abordava o CVE-2021-21974, uma vulnerabilidade de estouro de heap, que pode permitir a execução remota de código.
Essa vulnerabilidade existe no Open Service Location Protocol (OpenSLP) e, como uma mitigação adicional após essa descoberta em 2021, a VMware começou a enviar seu software com esse serviço desativado por padrão para garantir proteção imediata. A exploração mais recente dessa vulnerabilidade foi relatada no início de fevereiro e é chamada de ataque ESXiArgs. Surgiu um ransomware que, usando essa vulnerabilidade para acessar o hipervisor ESXi, criptografa muitos dos tipos de arquivo associados aos sistemas virtuais que estão sendo hospedados.
O US Cyber Information Security Institute lançou uma ferramenta de recuperaçãoque pode ajudar a descriptografar alguns dos arquivos, mas eles alertaram para revisar o arquivo leia-me cuidadosamente antes de executar a ferramenta. O fato de uma vulnerabilidade mais antiga como essa ainda estar aberta e sendo explorada mostra que muitas organizações são lentas para corrigir e atualizar sistemas de infraestrutura potencialmente críticos. Isso pode ser devido ao desconhecimento do problema, à mentalidade de ‘não toque se não estiver quebrado’, à necessidade de permanecer em uma versão específica para compatibilidade de operações de negócios ou talvez até à procrastinação que mencionei no mês passado, mas em todos os casos, coloca a empresa no mínimo em risco de interrupção e, na pior, de exploração.
Todos nós devemos priorizar as atualizações que implantamos a cada mês de alguma maneira. Para muitos, o Common Vulnerability Scoring System (CVSS) da FIRST tem sido a força motriz desse processo. Um dos principais objetivos por trás do cálculo do número CVSS real é garantir a padronização para que todos os CVEs sejam pontuados de forma consistente e possam ser comparados com precisão.
Quanto maior a pontuação do CVSS para uma vulnerabilidade e o patch associado, mais crítica é a implantação na maioria dos ambientes. Fiquei bastante surpreso ao ver os resultados de uma análise das pontuações do CVSS em um artigo recente, mostrando que há uma discrepância de quase 20% das pontuações do CVSS (25.000). Isso foi baseado em uma comparação das pontuações relatadas no NIST National Vulnerability Database (NVD) e aquelas relatadas diretamente pelos próprios fornecedores.
Aparentemente, pode haver alguma discrição nos valores que são inseridos para calcular o número CVSS geral. Um ponto importante a ter em mente é que os fornecedores historicamente atribuíram sua própria terminologia à gravidade, como crítico, importante etc. fornecem uma comparação precisa de patches entre fornecedores.
Na verdade, muitos usam terminologia totalmente diferente. Da mesma forma, a gravidade do fornecedor nem sempre é um indicador positivo – muitas vulnerabilidades de dia zero são classificadas como ‘Importantes’ pela Microsoft, mas podem ter números CVSS altos. Independentemente da metodologia utilizada para priorizar as atualizações disponíveis, e se você observar um conflito em resultados como números CVSS, você deve sempre considerar o risco em termos de SEU ambiente. Você conhece melhor seus sistemas e, em caso de dúvida, deve corrigir aqueles que são mais críticos.
Tem sido um mês tranquilo para lançamentos desde a última Patch Tuesday. A Microsoft lançou uma atualização fora de banda que não é de segurança para .NET framework e .NET core para solucionar problemas de exibição com arquivos de documento XPS. Essas versões não serão instaladas por meio da atualização do Windows, mas podem ser obtidas por meio do Catálogo do Microsoft Update . Precisamos ver se eles se tornarão parte do lançamento geral do patch na próxima semana.
Previsão do Patch Tuesday de fevereiro de 2023
- A Microsoft cumpriu minha previsão para lidar com um grande número de CVEs no mês passado para o fechamento do Windows 7 e Server 2008 ESU. Mesmo o Windows 11 e o Windows 10 tiveram 66 e 64 CVEs endereçados, respectivamente. Suspeito que haverá menos CVEs abordados este mês, pois eles se recuperaram um pouco, portanto, espere um conjunto leve de atualizações para todos os sistemas operacionais de servidor e desktop.
- A Adobe lançou sua grande atualização trimestral para Acrobat e Reader na última terça-feira, portanto, espere apenas uma pequena atualização este mês.
- A Apple lançou outro conjunto de atualizações para Ventura, Monterey, Big Sur, iOS e Safari no final de janeiro. Não espero atualizações para a próxima semana.
- O Google lançou o Chrome 111 em todos os seus canais beta esta semana, então prepare-se para o lançamento formal na próxima semana.
- A Mozilla provavelmente terá novas atualizações de segurança para Firefox, Firefox ESR e Thunderbird na próxima semana ou logo depois.
As atualizações antecipadas para a próxima semana parecem muito administráveis, então você deve ter algum tempo para passar no final do dia com alguém que você ama! Aproveitar!
FONTE: HELPNET SECURITY