De acordo com a análise Ivanti do Patch Tuesday, outubro é o mês europeu da segurança cibernética. Este é um bom momento para as empresas revisarem sua própria estratégia de segurança: até que ponto as equipes de TI e segurança de TI são capazes de se concentrar nos aspectos mais importantes da higiene cibernética geral.
O gerenciamento de vulnerabilidades sempre desempenha um papel especial aqui. Há 18 anos, a Microsoft vem agregando o lançamento de novos patches no Patch Tuesday, ajudando as empresas a consolidar janelas de teste e manutenção e corrigir vulnerabilidades de segurança em softwares comuns de maneira mais previsível.
Aplicação de patches: diferentes demandas das equipes de TI
Patch Tuesday em outubro: novamente algumas vulnerabilidades importantes (Imagem: Ivanti).
No entanto, as demandas das equipes de TI em termos de patching mudaram nos últimos anos: elas estão lutando cada vez mais para proteger um ambiente de TI repleto de produtos de software fora da Microsoft & Co. os ciclos de liberação funcionam. Por último, mas não menos importante, 71% de todos os especialistas em segurança reclamam que o gerenciamento de vulnerabilidades é muito demorado e complexo - de acordo com um estudo atual da Ivanti. O resultado: o patch está ficando cada vez mais em segundo plano em relação a outras tarefas, conforme afirmado por 62% dos participantes do estudo. Mais resultados do estudo estão disponíveis para download.
Avaliação do Patch Tuesday em outubro
Este mês, a Microsoft lançou atualizações que fecham um total de 74 novas vulnerabilidades de segurança (CVEs) e dois CVEs relançados. Isso inclui quatro vulnerabilidades divulgadas publicamente e uma de dia zero (CVE-2021-40449). A Microsoft classificou três dos 76 CVEs deste mês como críticos. As atualizações deste mês afetam os sistemas operacionais Windows, Office 365, Exchange Server, Intune, System Center, .Net Core e Visual Studio e uma variedade de funções no AD, ADFS, Hyper-V e DNS.
CVE-2021-40449 é uma vulnerabilidade Win32k (Elevação de Privilégio) no sistema operacional Windows, começando no Windows 7 e Server 2008 até o Windows 11 e Server 2022. A Microsoft classifica essa vulnerabilidade apenas como uma importante do sistema de gravidade. Este é um bom exemplo de por que as organizações devem priorizar o risco ao lidar com vulnerabilidades de segurança. Uma abordagem baseada em risco para o gerenciamento de vulnerabilidades considera indicadores mais realistas, como vulnerabilidades conhecidas, divulgações e tendências na exploração de vulnerabilidades por agentes de ameaças. O objetivo dessa abordagem é entender melhor em quais vulnerabilidades as equipes devem se concentrar primeiro e rapidamente.
Microsoft fecha mais vulnerabilidades
A Microsoft também corrigiu a vulnerabilidade CVE-2021-41338 no Windows AppContainer Firewall, que pode ser usado para ignorar os recursos de segurança. A vulnerabilidade foi divulgada publicamente, incluindo código de prova de conceito. Isso permite que os agentes de ameaças desenvolvam uma exploração. A vulnerabilidade existe no Windows 10, Server 2016 e versões posteriores.
O CVE-2021-41335, por outro lado, é uma vulnerabilidade no kernel do Windows que permite o escalonamento de privilégios. A vulnerabilidade existe nas versões Windows 7 a Windows 10 e Server 2008 a Server 2019. O CVE foi divulgado publicamente, incluindo código de prova de conceito. A Microsoft também corrigiu o CVE-2021-40469, uma vulnerabilidade de execução remota de código no DNS do Windows. A vulnerabilidade afeta apenas servidores configurados como servidores DNS e se aplica ao Server 2008 ao Server 2022. A vulnerabilidade se tornou pública – incluindo também um código de prova de conceito.
Melhorias em outubro
Com CVE-2021-33781, a Microsoft corrigiu uma vulnerabilidade que permite que as funções de segurança no Azure AD sejam contornadas. Essa lacuna foi corrigida originalmente com o Patch Tuesday em julho. Com a atualização, outras versões afetadas do Windows 10 (1607) Server 2016 e do Windows 11 foram adicionadas.
A Adobe lançou seis atualizações, incluindo uma para Acrobat e Reader, Connect, Reader Mobile, Commerce, Campaign Standard e ops-cli. As atualizações Adobe Connect (APSB21-91) e ops-cli (APSB21-88) contêm CVEs críticos com uma pontuação básica CVSS de 9,8 em 10. APSB21-104 para Adobe Acrobat e Reader corrige a maioria dos CVEs em ordem. Um total de quatro vulnerabilidades foram corrigidas nesta atualização, duas das quais foram classificadas como críticas com uma pontuação CVSS de 7,8.
Adobe, FoxIT, Google e muito mais
O FoxIt PDF lançou atualizações para suas edições do Windows e macOS que abordam muitas vulnerabilidades. Sete CVEs e vários IDs foram identificados e corrigidos. Essas são vulnerabilidades identificadas pela Trend Zero Day Initiative e pelo China National Vulnerability Database. As empresas podem visitar a página de atualizações do Foxit PDF Editor para obter mais detalhes.
O Google Chrome teve um total de quatro lançamentos desde o Patch Tuesday em setembro, resolvendo um total de 25 CVEs. A Oracle, por outro lado, não libera sua CPU trimestral até 19 de outubro. As equipes de TI devem examinar mais de perto as atualizações de Java, Oracle DB, middleware e outros produtos da Oracle durante esse período.