Usuários de sistemas desatualizados do Microsoft Office 365 e de serviços de VPN são os mais afetados
Em março deste ano, o home office se tornou uma necessidade súbita e urgente, movimentando empresas a adotarem serviços de colaboração em nuvem, como o Microsoft Office 365, por exemplo, para que suas equipes pudessem continuar trabalhando.
Infelizmente, e compreensivelmente, a pressão foi alta para que essas empresas – que até ontem ou conheciam de forma superficial os serviços de cloud, ou sequer usavam qualquer serviço do tipo – passassem a depender quase que inteiramente de estar na nuvem.
Combinando a pressa com o desconhecimento e configurações errôneas e descuidadas, o caminho é asfaltado para que agentes maliciosos tenham acesso a dados corporativos sensíveis.
De acordo com este novo relatório que cobre as 10 principais vulnerabilidades exploradas rotineiramente pelo Departamento de Segurança Interna (DHS), pela Agência de Segurança de Infraestrutura (CISA) e pelo FBI – a mudança abrupta para o trabalho remoto o levou à implantação apressada de serviços de colaboração em nuvem, aumentando o risco de ataque cibernético em diversas organizações.
As omissões resultantes nas configurações de segurança são as principais culpadas. Mas essa é apenas uma das vulnerabilidades que as agências perceberam que estão sendo exploradas este ano.
Outra tendência para 2020 são os ciberataques que miram cada vez mais em vulnerabilidades de VPN (Rede Privada Virtual) sem patch. Estes são dois dos ataques específicos de vulnerabilidade de VPN que as agências detectaram:
- Uma vulnerabilidade de execução arbitrária de código, conhecida como CVE-2019-19781, em servidores da Citrix. A Citrix enviou patches porque os servidores vulneráveis foram atacados em janeiro, porém a organização não deixou claro o que essa falha permitiria que os invasores fizessem. Com base na análise das mitigações propostas pela Citrix, a especulação era de que o problema permitia a travessia de diretórios – em outras palavras, oferecia aos criminosos uma maneira de acessar qualquer informação dos diretórios sem a necessidade de se autenticar.
- Uma vulnerabilidade arbitrária na leitura de arquivos nos servidores Pulse Secure, conhecida como CVE-2019-11510, que atrai agentes mal-intencionados até hoje. O que é lamentável é que, apesar de as correções estarem disponíveis desde abril de 2019, em janeiro de 2020 os invasores ainda estavam usando as falhas para se infiltrar em servidores sem patch, invadir redes corporativas e instalar ransomwares.
Sistemas sem patches pavimentam o caminho para os cibercriminosos
Tudo isso em 2020, e ainda nem chegamos ao ponto principal do relatório: as 10 vulnerabilidades mais exploradas dos anos de 2016 a 2019 – e que, de quebra, continuam rendendo algumas dores de cabeça este ano.
As agências de cibersegurança dos EUA nos alertam: é vital para a saúde das corporações ao redor do mundo que os profissionais de segurança de TI das empresas do setor público e privado tenham como “sua maior prioridade corrigir essas vulnerabilidades mais conhecidas, frequentemente exploradas ao longo dos últimos anos”.
A lógica por trás do relatório é fornecer detalhes sobre vulnerabilidades que são alvo rotineiro de ciber atacantes internacionais – classificadas como Vulnerabilidades e Exposições Comuns (CVEs) – para que as organizações reduzam o risco dessas ameaças, de acordo com os EUA.
Diretamente do relatório:
Atores cibernéticos continuam a explorar vulnerabilidades de software conhecidas publicamente – e muitas vezes datadas – contra conjuntos amplos de alvos, incluindo organizações do setor público e privado. A exploração dessas vulnerabilidades geralmente requer menos recursos em comparação com explorações de dia zero, por exemplo, para as quais não há patches disponíveis.
Em outras palavras, existem maneiras de forçar os atacantes a trabalhar muito mais: a saber, corrigindo os sistemas em tempo hábil, assim que possível, quando os patches forem lançados:
Os setores público e privado podem degradar algumas ameaças cibernéticas por meio de um esforço maior para corrigir seus sistemas e implementar programas para manter tais sistemas atualizados. Uma campanha concentrada em rever essas vulnerabilidades introduziria atritos nas tradições operacionais de adversários estrangeiros e os forçaria a desenvolver ou adquirir explorações que são mais caras e menos efetivas. Uma campanha de correções também reforçaria a segurança da rede, concentrando os poucos recursos defensivos nas atividades que representam maior risco para as empresas.
As 10 principais vulnerabilidades dos serviços em nuvem
A lista abaixo elenca as principais vulnerabilidades nas quais concentrar campanhas de correção através de patches. São as 10 principais vulnerabilidades mais exploradas em 2016-2019.
Nela, incluímos sua identificação de CVE, quais os produtos vulneráveis, quais os malwares associados (isto é, qual a família de malware comumente associada à exploração de cada CVE) e algumas estratégias de mitigação.
CVE-2017-11882
- Produtos vulneráveis: Produtos do Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016
- Malware associado: Loki, FormBook, Pony / FAREIT
- Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes
CVE-2017-0199
- Produtos vulneráveis: Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
- Malware associado: FINSPY, LATENTBOT, Dridex
- Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes
CVE-2017-5638
- Produtos vulneráveis: Apache Struts 2 2.3.x antes da atualização 2.3.32 e 2.5.x antes da atualização 2.5.10.1
- Malware associado: JexBoss
- Mitigação: Atualize para o Struts 2.3.32 ou Struts 2.5.10.1
CVE-2012-0158
- Produtos vulneráveis: Microsoft Office 2003 SP3, 2007 SP2 e SP3 e 2010 Gold e SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4 e 2008 SP2, SP3 e R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2 e 2009 Gold e R2; Visual FoxPro 8.0 SP1 e 9.0 SP2; e Visual Basic 6.0
- Malware associado: Dridex
- Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.
CVE-2019-0604
- Produtos vulneráveis: Microsoft SharePoint
- Malware associado: China Chopper
- Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.
CVE-2017-0143
- Produtos vulneráveis: Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold e R2; Windows RT 8.1; e Windows 10 Gold, 1511 e 1607; e Windows Server 2016
- Malware associado: vários usando o EternalSynergy e o EternalBlue Exploit Kit
- Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.
CVE-2018-4878
- Produtos vulneráveis: Adobe Flash Player anterior à atualização 28.0.0.161
- Malware associado: DOGCALL
- Mitigação: atualize a instalação do Adobe Flash Player para a versão mais recente.
CVE-2017-8759
- Produtos vulneráveis: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 e 4.7
- Malware associado: FINSPY, FinFisher, WingBird
- Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes
CVE-2015-1641
- Produtos vulneráveis: Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word para Mac 2011, Office Compatibility Pack SP3, Serviços de Automação do Word no SharePoint Server 2010 SP2 e 2013 SP1 e Office Web Apps Server 2010 SP2 e 2013 SP1
- Malware associado: Toshliph, UWarrior
- Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes
CVE-2018-7600
- Produtos vulneráveis: Drupal antes da 7.58, 8.x antes da atualização 8.3.9, 8.4.x antes da atualização 8.4.6 e 8.5.x antes da atualização 8.5.1
- Malware associado: Kitty
- Mitigação: Atualize para a versão mais recente do Drupal 7 ou 8 core.
Como fazer a mitigação das CVEs mais exploradas em 2020, até agora
CVE-2019-11510
- Produtos vulneráveis: Pulse Connect Secure 9.0R1 – 9.0R3.3, 8.3R1 – 8.3R7, 8.2R1 – 8.2R12, 8.1R1 – 8.1R15 e Pulse Policy Secure 9.0R1 – 9.0R3.1, 5.4R1 – 5.4R7, 5.3 R1 – 5.3R12, 5.2R1 – 5.2R12, 5.1R1 – 5.1R15
- Mitigação: atualize os dispositivos Pulse Secure afetados com os patches de segurança mais recentes.
CVE-2019-19781
- Produtos vulneráveis: Citrix Application Delivery Controller, Citrix Gateway e Citrix SDWAN WANOP
- Mitigação: atualize os dispositivos Citrix afetados com os patches de segurança mais recentes
Supervisões nas configurações de segurança do Microsoft O365
- Produtos vulneráveis: Microsoft O365
- Mitigação: Siga as recomendações de segurança do Microsoft O365
Não encontrou nenhum serviço adotado pela sua empresa nessa lista? O alerta vale mesmo assim!
Manter seus sistemas atualizados e seguir as recomendações do seu time de segurança é imprescindível para evitar ataques significativos por questões que poderiam facilmente ser evitadas.
Confira nas redes da Compugraf as recomendações dos nossos especialistas de segurança e não se esqueça de compartilhar esta notícia com o seu time!