Quando um ataque “zero-day” acontecer, seja esperto sobre quais máquinas você deve corrigir primeiro

Por Ariel Zeitlin

7 de junho de 2021

Introdução

O Microsoft Patch Tuesday de maio de 2021 abordou 55 vulnerabilidades, incluindo uma vulnerabilidade de execução remota de código de pilha de protocolo HTTP crítica de dia zero, rastreada como CVE-2021-31166. Este patch corrige um bug que pode permitir que um invasor não autenticado execute um código remotamente, simplesmente enviando um pacote especialmente criado para um servidor afetado. Isso é o que torna este bug wormable, o que significa que ele pode ser movido de vítima para vítima.

A implantação de patch de segurança é uma das tarefas mais difíceis para uma organização de TI de qualquer tamanho. Mesmo depois de implantado, você nem sempre pode ter certeza de que todas as máquinas estavam ativas no momento da implantação, expondo essas máquinas e toda a rede a riscos.

Para mitigar rapidamente o risco e conter a exposição à vulnerabilidade CVE-20121-31166, divida suas máquinas em 3 grupos e faça o patch por criticidade:

1. Corrija primeiro as máquinas de maior risco – máquinas que não foram corrigidas e expostas à Internet.

2. Bloqueie a porta 443 para máquinas que não estão corrigidas (patched), mas também não estão usando a 443. Geralmente, esse grupo é bem grande e pode ser corrigido mais tarde.

3. Faça o patch do grupo de máquinas que não estão corrigidas (unpatched), que usam a porta 443 e  são internas.

Isso permite que as organizações concentrem o esforço de correção (patching) de dezenas de milhares de servidores para algumas centenas ou até menos, enquanto controlam completamente o risco e a exposição.

Como resolver em menos de uma hora.

Usaremos os três recursos principais da Guardicore: Insight para ver os computadores afetados, Revelar mapeamento dos fluxos de comunicação e interdependências destes e Política para mitigar com políticas ao nível do processo.

Enfrente o risco mais alto primeiro – sem patch, exposto à Internet (443)

  1. Usando o Insight Guardicore, escreva uma consulta SQL simples para rastrear máquinas sem patch que são vulneráveis ​​a KB5003173 (CVE-2121-31166):

execute uma consulta com o Guardicore Insight

Insight retorna uma lista de máquinas  sem patch  em segundos:

lista de máquinas sem patch

 2. Coloque um rótulo nessas máquinas sem patch, neste exemplo usamos KB5003173: Sim

Nota: Você também pode tornar a consulta e marcação periódica para que novas máquinas sem patch sejam marcadas automaticamente, caso apareçam.

  1. Use o Reveal para criar um mapa e filtre-o pelo rótulo que acabamos de criar e pelas máquinas que estão expostas à internet (via porta 443). As máquinas que correm maior risco são aquelas que não estão sem patch e recebem conexões de Internet:

filtre por rótulo

Em seguida, lide com máquinas sem patch que não usam a porta 443

Uma vez que validamos que não há máquinas de alto risco, ou seja, máquinas sem patch e expostas à Internet, podemos lidar com o segundo grupo de máquinas.

  1. Um bom ponto de partida seria encontrar todas as máquinas que não foram corrigidas, mas também não estão se comunicando pela 443. Para elas, podemos simplesmente bloquear essa porta para eliminar o risco e corrigi-las mais tarde (patch). Isso pode ser obtido filtrando o mapa novamente por “NOT Destination Port 443” e rotulando-os como “NotUsing443”.
  1. Em seguida, adicione uma regra Simples de Substituição de Bloqueio, conforme mostrado abaixo:

Política única bloqueia o acesso a máquinas que não usam a porta 443

Por último, faça o patch de máquinas vulneráveis ​​(não corrigidas/sem o patch) que usam a porta 443, mas não estão expostas à Internet

Faça o patch de máquinas que usam 443, mas são internas (não expostas à Internet ). Depois que todas as máquinas tiverem sido corrigidas (feitos os patches), você pode remover os rótulos e regras.

Conclusão:

Tomando essa abordagem gradual para aplicar patches fornece uma maneira simples e altamente eficaz de resolver um problema de segurança significativo com uma abordagem consciente dos riscos.

Fale conosco para mais informações!

 

Assine a nossa newsletter

Sem spam, nós prometemos. Enviaremos apenas insights sobre como reduzir o risco em seu data center e nuvens.

Veja o Centra em ação

Reduza sua superfície de ataque e evite o movimento lateral com uma rápida e simples que funciona em qualquer lugar.