As principais vulnerabilidades de software são um fato da vida, conforme dados da Microsoft, ela corrigiu entre 55 e 110 vulnerabilidades a cada mês este ano – com 7% a 17% dessas vulnerabilidades sendo críticas.
Maio teve o menor número de vulnerabilidades, com um total de 55 e apenas quatro consideradas críticas. O problema é que as vulnerabilidades críticas são coisas que vimos há muitos anos, como execução remota de código e escalonamento de privilégios.
A Microsoft não é o único grande nome corrigindo regularmente grandes vulnerabilidades: vemos atualizações de segurança mensais provenientes da Apple, Adobe, Google, Cisco e outros.
Tudo velho é novo outra vez
Com grandes vulnerabilidades em tantas aplicações, há alguma esperança de um futuro seguro? A resposta é, claro, sim, mas isso não significa que não haverá desafios para chegar lá.
As vulnerabilidades que estão sendo vistas podem não ser novas para aqueles de nós que têm defendido contra atacantes por anos ou mesmo décadas, mas os adversários mudam continuamente suas táticas.
Com 80% das violações de segurança envolvendo contas privilegiadas, uma grande vulnerabilidade que veremos cada vez mais explorada é o escalonamento de privilégios. Uma tática comum de operadores de ransomware e outros atores de ameaças é obter privilégios elevados em um sistema para ajudar a legitimar suas ações e obter acesso a dados confidenciais.
Se um ladrão de informações tiver o mesmo acesso que o usuário atual, as chances de exfiltrar dados confidenciais aumentam significativamente. Enquanto isso, o acesso de administrador quase garante o acesso a dados interessantes.
Além de manter o software atualizado, é aqui que as iniciativas zero trust e o monitoramento do fluxo de dados se tornam essenciais. Zero trust significa que o princípio do menor privilégio deve ser aplicado e a autenticação multifatorial deve ser exigida sempre que estiver disponível.
Essencialmente, isso garante que qualquer pessoa que não precise acessar um sistema ou arquivo não possa acessá-lo, enquanto aqueles que precisam devem provar que são quem dizem ser. O monitoramento do fluxo de dados também pode ajudar a detectar uma violação no início, limitando a quantidade de dados roubados.
Controle Remoto
A execução remota de código (RCE) não irá embora tão cedo. Esses ataques foram responsáveis por cerca de 27% dos ataques em 2020, contra 7% no ano anterior. Se um invasor puder encontrar uma maneira de executar um código arbitrário em seu sistema remotamente, ele terá muito mais controle do que apenas conseguir que um usuário execute um malware com funções predefinidas involuntariamente.
Se o invasor puder executar um código arbitrário remotamente, ele ganhará a capacidade de se mover pelo sistema e possivelmente pela rede, permitindo que altere seus objetivos e táticas com base no que encontrar.
O monitoramento comportamental é uma das melhores maneiras de detectar RCE em seus sistemas. Se uma aplicação começar a executar comandos e ativar processos que não fazem parte de seu comportamento normal, você poderá interromper um ataque logo no início. O fato de o RCE ser tão comum também exige que você mantenha os patches de segurança atualizados para interromper muitos desses ataques antes mesmo de eles começarem.
Quem precisa de malware, afinal?
Hoje, um método de ataque favorito é usar processos legítimos e aplicações confiáveis para atingir objetivos fatais.
Um dos aplicativos mais comuns a serem explorados dessa forma é o PowerShell. Isso faz sentido porque o PowerShell é uma aplicação poderosa usado para criar scripts e executar comandos do sistema.
Esta é outra instância em que monitorar o comportamento de aplicações e processos podendo ser vital para interromper um ataque rapidamente. O PowerShell realmente precisa desabilitar os recursos de segurança?
Na maioria dos casos, provavelmente não. Comportamentos como esse podem ser monitorados, como exemplo do PowerShell. Combine esse monitoramento com machine learning e IA, e você pode começar a identificar comportamentos normais em sua rede, com respostas automatizadas para atividades incomuns.
Embora os tipos comuns de ataques possam não mudar muito, qualquer mudança na aplicação ou código tem o potencial de introduzir novas vulnerabilidades. Isso não significa que devemos desistir e apenas deixar os adversários vencerem, significa que agora é a hora de dobrar nossos esforços para frustrar suas tentativas.
Implemente uma estratégia de gerenciamento de patch, monitore a rede, use detecção comportamental e evite complacência. O fato de que os principais fornecedores de software estão corrigindo regularmente grandes vulnerabilidades é realmente uma coisa boa, porque os invasores não estão desistindo, então nem devemos.
REFERÊNCIAS:
https://thehackernews.com/2021/06/the-vulnerabilities-of-past-are.html
https://acronis.com/?utm_source=thehackernews&utm_medium=referral&utm_campaign=fy21-q2-thehackernews-spte-code-execution-rce-attacks-in-2020/