A temporada de festas chegou, e a Microsoft presenteou os administradores de sistemas ao redor do mundo com a redução do número de vulnerabilidades para abordar, sem etapas adicionais de mitigação e sem problemas conhecidos importantes decorrentes das atualizações deste mês. Também não houve patches de segurança para o Exchange ou SharePoint; quebrando um padrão dos últimos meses. Embora seja ótimo que as equipes responsáveis pela aplicação de patches nos sistemas Windows tenham um pouco de alívio neste mês, não se descanse. É preciso começar a planejar como aprimorar seus processos de patch no próximo ano, se ainda não o fez. Algumas resoluções de Ano Novo para melhorar o tempo de aplicação de patches descobertos e instituir auditorias mensais do status de patches nos ambientes de seus clientes podem ser a melhoria mais simples, mas eficaz, em seus controles e processos de segurança que previnem um incidente cibernético em 2024.
Vulnerabilidades da Microsoft
Neste mês, a Microsoft abordou 34 novas vulnerabilidades, uma vulnerabilidade zero-day específica para processadores AMD, 7 vulnerabilidades críticas e 11 designadas como “Exploração Mais Provável”. Até 12 de dezembro, não havia vulnerabilidades sendo exploradas ativamente. Também estão incluídas neste mês atualizações não relacionadas à segurança, como as atualizações cumulativas KB5033375 para o Windows 11 e KB5033372 para o Windows 10, que trazem o Copilot da Microsoft para mais versões do Windows.
A falha no processador AMD CVE-2023-20588 pode potencialmente vazar dados sensíveis, embora a AMD considere o impacto geral como baixo devido à sua necessidade de acesso local. Uma atualização de segurança da Microsoft resolve esse problema. Você pode ler mais sobre isso na AMD aqui.
CVE-2023-35628, uma Execução Remota de Código (RCE) na Plataforma MSHTML do Windows, é uma das vulnerabilidades dignas de nota neste mês devido aos métodos pelos quais um invasor pode explorar a vulnerabilidade. Um ator mal-intencionado pode enviar um e-mail especialmente elaborado com um link malicioso que não precisa ser aberto ou clicado pelo usuário, ou então fazer com que um usuário clique no link por meio de outros métodos de entrega. Um ataque bem-sucedido resulta em execução remota de código no computador. A Microsoft lançou atualizações de segurança e atualizações cumulativas para abordar essa vulnerabilidade no Windows Server 2008 R2 até as versões mais recentes do Windows, mas não lançou correções para as versões Windows 7 ou 8. Isso destaca os perigos de executar sistemas operacionais e software não suportados, já que a pergunta “esses sistemas são vulneráveis a essa falha?” fica sem resposta nas notas de lançamento, e você fica entregue à própria sorte para adivinhar a resposta.
Priorização de Vulnerabilidades do Patch Tuesday da Microsoft
Abordar vulnerabilidades efetivamente requer uma combinação de aderir às melhores práticas estabelecidas e usar um julgamento informado. Embora seja um instinto natural classificar vulnerabilidades com classificações de gravidade crítica mais altas no topo da lista de coisas a serem abordadas, depender apenas das classificações de gravidade pode ser limitante. Um componente frequentemente negligenciado são as métricas temporais, que fornecem uma medida da janela de vulnerabilidade – o tempo desde a descoberta inicial da vulnerabilidade até a disponibilidade e aplicação do patch. Isso é essencial, pois quanto mais tempo uma vulnerabilidade existe sem uma correção, maior o potencial de exploração. Integrando métricas temporais ao processo de avaliação de riscos, as organizações podem obter uma compreensão mais abrangente do cenário de ameaças e dos vetores de ataque potenciais, garantindo que não se exponham a riscos desnecessários.
Resumo
Como sempre, certifique-se de ter processos estabelecidos para avaliação, teste e implementação de patches. Se você tradicionalmente lidou com patches aplicando-os com base em sua gravidade, considere incluir a priorização de patches para vulnerabilidades Zero-Day, com Detecção de Exploração e Mais Provável em suas rotinas de Gerenciamento de Patches.
(artigo originalmente publicado em Inglês, no Blog da N-able – By Lewis Pope, 17th December, 2023)