A Microsoft continua liderando o ranking quando o assunto é vulnerabilidade ou número de falhas de segurança. Nada menos que 8 dos 10 erros mais explorados no ano passado envolveram produtos da empresa. E o pior, seis deles eram os mesmos do ano anterior, de acordo com a nova análise do Recorded Future. A Microsoft lidera o ranking de problemas de segurança pelo terceiro ano consecutivo.
A Microsoft só não liderou em todos as top 10 por causa do líder em falhas e exploração por hackers, que é o Adobe Flash Player. Este é o grande favorito dos atacantes. Como aconteceu nos últimos anos, a Recorded Future analisou dados coletados de bancos de dados de vulnerabilidades e outras fontes para tentar identificar as vulnerabilidades mais usadas em ataques de phishing, kits de exploração e cavalos de Troia de acesso remoto.
A empresa de inteligência contra ameaças considerou dados de cerca de 12.000 vulnerabilidades que foram relatadas e classificadas através do sistema Common Vulnerabilities and Exposure (CVE) no ano passado. As vulnerabilidades relacionadas às façanhas do estado-nação foram especificamente excluídas da lista porque essas falhas geralmente não são oferecidas para venda ou são mencionadas muito em fóruns clandestinos, de acordo com a Recorded Future.
A análise de 2019 mostrou uma preferência contínua – e não surpreendente – entre os cibercriminosos por falhas que afetam o software da Microsoft.
Microsoft lidera número de falhas de segurança
A vulnerabilidade mais explorada em 2019 em si foi o CVE-2018-15982 , um chamado problema de uso após liberação que afeta o Adobe Flash Player 31.0.0.153 e versões anteriores e 31.0.0.108 e versões anteriores. As explorações para a falha de execução remota de código foram amplamente distribuídas por pelo menos dez kits de exploração, incluindo RIG, Grandsoft, UnderMiner e dois recém-chegados, Capesand e Spelevo. Mas essa vulnerabilidade e outro problema de uso livre que afetam várias versões do Adobe Flash Player (CVE-2018-4878) foram os únicos na lista dos 10 ‘melhores’ da Recorded Future não relacionados à Microsoft.
Quatro das restantes oito vulnerabilidades restantes no top 10 lista dos mais explorados usaram o Internet Explorer. Um deles – CVE-2018-8174 – uma falha de execução remota de código no mecanismo de script do Windows VBS, foi a segunda falha mais usada deste ano – e a questão mais explorada em 2018. As explorações da falha foram distribuídas por vários kits, incluindo RIG, Fallout, Spelevo e Capesand.
O mais preocupante é que seis das vulnerabilidades da lista deste ano também estavam presentes no top 10 de 2018. Um deles – uma falha crítica na execução remota de código no Microsoft Office e Wordpad (CVE-2017-0199) – está na lista há três anos. De fato, apenas uma vulnerabilidade de segurança na lista das 10 melhores da Recorded Future 2019 foi divulgada no mesmo ano – CVE-2019-0752 – uma “Vulnerabilidade de corrupção de memória do mecanismo de script” no Internet Explorer 10 e 11.
O número de vulnerabilidades repetidas é significativo porque revela a viabilidade a longo prazo de certas vulnerabilidades, diz Kathleen Kuczma, engenheira de vendas da Recorded Future.
Kits de invasão
As vulnerabilidades fáceis de explorar ou impactar uma tecnologia comum são frequentemente incorporadas aos kits de exploração e vendidas em fóruns criminosos clandestinos, ela observa.
O CVE-2017-0199, por exemplo, continua a ser bastante explorado porque afetou vários produtos da Microsoft, especificamente o Microsoft Office 2007-2016, o Windows Server 2008 e o Windows 7 e 8. O número de produtos impactados juntamente com sua inclusão em vários kits de exploração tornam viável continuar a explorar o problema, diz Kuczma.
Outro motivo pelo qual os criminosos continuam explorando certas vulnerabilidades é simplesmente porque eles funcionam. As organizações geralmente podem levar muito tempo para resolver falhas conhecidas, mesmo quando elas estão sendo ativamente exploradas ou distribuídas por kits de exploração. Os motivos comuns para atrasos na aplicação de patches incluem preocupação com o tempo de inatividade e interrupções operacionais e preocupação com os patches que não estão funcionando ou que quebram aplicativos. Outros motivos incluem a falta de visibilidade e a incapacidade de identificar sistemas potencialmente vulneráveis em uma rede.
Desafios de patches
Para Brian Martin, vice-presidente de inteligência de vulnerabilidade da Risk Based Security. “A triste realidade é que a correção de todos os sistemas em uma grande organização é brutal”. Não é incomum que os testadores de invasão descubram sistemas em uma rede de destino que a organização contratante nem sabia, diz ele.
A análise da Recorded Future mostrou um declínio contínuo no uso e disponibilidade de novos kits de exploração. Ao mesmo tempo, os kits de exploração eram extremamente populares porque permitiam que até cibercriminosos com relativamente pouca habilidade tivessem a oportunidade de executar ataques sofisticados. Em 2016, a Recorded Future contabilizou pelo menos 62 novos kits de exploração nos mercados do submundo do crime. Em 2019, eles eram apenas quatro novos participantes.
O declínio, relatado por vários fornecedores e pesquisadores de segurança nos últimos dois anos ou mais, é principalmente o resultado de várias ações bem-sucedidas da lei contra os grupos que vendem kits de exploração.
Prisões inibiram ataques
As prisões de 2016 de dezenas de indivíduos na Rússia por trás das operações do kit de exploração Angler são apenas um exemplo, diz Kuczma. Outro fator é a relativamente escassez de falhas de dia zero, em que os kits de exploração se baseavam principalmente para obter sucesso. “Com menos dias zero, as empresas estão mais aptas a reforçar suas defesas contra o potencial uso de kits de exploração”, observa ela.
Harrison Van Riper, analista de estratégia e pesquisa da Digital Shadows, diz que outro fator é o fim da vida útil do Adobe Flash. Isso está planejado para ocorrer este ano. O Adobe Flash costumava ser um vetor de ataque extremamente comum e, portanto, popular entre os fabricantes de kits de exploração. Porém, com a tecnologia programada para ser encerrada este ano e os navegadores modernos não executando mais o Flash automaticamente, o interesse pelos kits de exploração diminuiu.
Listas como a Recorded Future podem ajudar as organizações a identificar as maiores ameaças
Assim, as empresas podem agir de forma imediata, para que ações corretivas possam ser priorizadas. Segundo o Recorded Future, menos de 1% de todas as vulnerabilidades divulgadas estão imediatamente prontas. Portanto, ao ter informações sobre as organizações que estão sendo exploradas ativamente, é possível entender melhor os problemas específicos que afetam seu conjunto de tecnologias.
Vulnerabilidades que estão sendo exploradas ativamente devem ser consideradas prioridades para correção, diz Van Riper. Manter-se atualizado com as vulnerabilidades e explorações recém-divulgadas também pode ajudar na priorização dos processos de patches.
As organizações precisam perceber que, frequentemente, as vulnerabilidades conhecidas são exploradas ativamente antes que um número CVE seja atribuído a ela. É o que afirma Martin, da Risk Based Security.
Segundo a empresa, o CVE e o sistema National Vulnerability Database não incluem muitas vulnerabilidades de segurança que os pesquisadores descobrem. Em um relatório do ano passado, a Risk Based Security alertou que as organizações que dependem exclusivamente do sistema CVS/NVD provavelmente não estão obtendo informações sobre apenas um terço de todas as vulnerabilidades divulgadas. A Risk Based Security afirmou que seus pesquisadores encontraram 5.970 mais vulnerabilidades no ano passado do que as relatadas no NVD. Desse total, mais de 18% tinham uma classificação de gravidade entre 9 e 10.
Precisa mais agilidade
Embora essa lista seja interessante e útil, o mais interessante seria observar as vulnerabilidades. Além disso, mostrar uma métrica ‘tempo para a atribuição de CVE, diz ele. Isso pode ajudar a determinar quanto tempo um bug de segurança passou da primeira exploração encontrada para o CVE até ser tornado público.
Para as organizações, o principal argumento é prestar atenção às correções nas falhas de segurança da Microsoft.
O gerenciamento de vulnerabilidades tornou-se uma das principais prioridades recentemente. Isso devido a proliferação de ataques que dependem de explorações que já possuem patches existentes. É o que diz Rui Lopes, diretor de engenharia e suporte técnico da Panda Security.
Um processo sólido para avaliar e implantar patches deve ser a base do plano de gerenciamento de vulnerabilidades de todas as organizações.
Fonte: Dark Reading