Descobrindo Vulnerabilidades em Tempo Hábil
As organizações podem descobrir rapidamente se eles estão vulneráveis, verificando, minuciosamente, as definições de política de grupo WSUS, embora seja possível verificar se uma máquina individual esteja configurada incorretamente, voltando a sua atenção para as chaves do registro apropriadas. Se a URL não começa com https, em seguida, o computador estará vulnerável ao ataque de "injection". Enquanto forem seguidas as diretrizes da Microsoft para usar o SSL para o WSUS, tendo em mente que isso irá proteger contra os ataques descritos, a Context também sugere que existe ainda mitigações de "defesa em profundidade", que poderiam ser implementadas pela Microsoft para oferecer uma proteção adicional.
A utilização de um certificado de assinatura separado para Windows Update, iria aumentar a proteção e os metadados de atualização em si e poderia ser assinado pela Microsoft para impedir a manipulação ilícita. Essas informações são de Alex Chapman, que é consultor principal na Context e "joint presenter" na Black Hat. Assinando as marcas que contêm o principal detalhe das atualizações com um certificado Microsoft, evitaria a necessidade de criar uma relação de confiança entre o cliente e o servidor WSUS. Durante a apresentação na Black Hat, os pesquisadores da Context também levantaram algumas preocupações sobre drivers de terceiros instalados via Windows Update. Existem mais de 25.000 drivers USB potenciais, que podem ser baixados - embora esta lista inclua muitos drivers genéricos e versões obsoletas.
Além do mais, os pesquisadores já começaram a baixar e investigar alguns dos 2.284 drivers de terceiros. A grande preocupação deles é que, quando estiverem conectando um dispositivo USB, alguns destes drivers podem ter vulnerabilidades que podem ser exploradas para fins maliciosos. Todo mundo está familiarizado com o "searching Drivers" e caixas de diálogo "Windows Update" em seus desktops. Porém, essas janelas aparentemente inócuas podem estar escondendo algumas ou quem sabe, muitas ameaças graves.
Vulnerabilidades Apresentadas pelas Redes Corporativas
Um dos maiores erros quando se trata de detecção e identificação das vulnerabilidades, é ignorar os direitos de acesso partilhado à rede, e estes causam 35% dos incidentes. Neste caso, podem existir direitos de acesso partilhados abertamente, configurados como "acesso total" para qualquer utilizador do servidor de arquivos interno ou para qualquer computador desktop, como por exemplo, um repositório público partilhado a partir de documentos no qual se armazene toda a documentação. Antes ou depois, esta configuração pode tornar-se uma fonte importante de redistribuição de malware por toda a organização. As espécies de malware mais atuais, todas modernas e com alto grau de sofisticação, tiram proveito das vulnerabilidades existentes. Dessa forma, basta que falte a instalação de um único patch em uma rede, para que a mesma fique exposta a uma ameaça grave. E este é um dos problemas mais recorrentes principalmente em PMEs com menos de 500 utilizadores. Além disso, estas organizações necessitam do nível de conhecimento suficiente para lidar com uma situação deste tipo, ou ignoram pura e simplesmente as correções que precisam ser implementadas. Lembrando que este problema está por detrás de 25% dos incidentes que ocorrem. Além de tudo, o uso de soluções anti-malware de fabricantes diferentes, pode dar lugar a uma situação em que seja difícil mitigar os ataques, na medida em que um deles pode demorar bastante a responder a um ataque, comprometendo toda a infra-estrutura de uma organização. Essa lentidão em responder aos incidentes chega a durar dias, semanas, e inclusive até meses. Sendo assim, durante este período, a solução de outro fornecedor seria responsável pela detecção do malware, mas apenas na parte da rede que lhe está atribuída.
Windows 10 e Necessidade de Aplicar Atualizações
Com o lançamento do Windows 10, que estava sendo altamente esperado pelos entusiastas do sistema da Microsoft, devido ao fato de ser oferecido de forma gratuita a quem tiver cópias dos Windows 7 e 8.1 originais, existe um detalhe que chama a atenção na página de especificações técnicas: "Atualizações do Windows Update serão disponibilizadas automaticamente para os usuários do Windows 10 Home. Os usuários do Windows 10 Pro e Windows 10 Enterprise, terão a possibilidade de adiar a instalação de updates. Essa é a mensagem que consta no texto que está em Inglês. Já a página em português, menciona apenas o W10 Home. Apesar da mensagem não ser tão objetiva e causar até uma certa confusão para algumas pessoas que leem, dá a entender que se a pessoa é um usuário doméstico do Windows 10, ela não poderá adiar as atualizações. Elas se instalarão no computador dos usuários, assim que forem disponibilizadas, e sua única opção é escolher quando prefere que o computador seja reiniciado. O privilégio de escolher os updates instalados é restrito apenas às versões do sistema voltado para empresas. Apesar disso tudo não ter a confirmação da Microsoft, pode ser que se trate simplesmente de um texto desordenado. Porém, esse entendimento duvidoso e a falta de clareza na mensagem passada, dão margem para muitas interpretações perigosas, porque a empresa estaria tirando do usuário o controle que ele tem sobre seu Windows e sobre o seu computador.
Até o momento, na versão de preview do Windows só existem duas opções, que são a instalação automática ou uma notificação para que o usuário possa agendar quando o computador será reiniciado. Portanto, não existe a opção de impedir uma atualização, ou não instalar um pacote específico.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=18725