CVE-2017-0016, CVE-2017-0037, CVE-2017-0038 são três vulnerabilidades da Microsoft descobertas recentemente que trazem à tona mais uma vez o emprego da proteção do sistema de prevenção de intrusões (IPS), como apontado pelos pesquisadores do TrendMicro. IPS, também conhecido como patch virtual, ajuda a proteger contra vulnerabilidades, mesmo nos casos em que o patch ainda não foi lançado. As três falhas da Microsoft estavam localizadas nos seguintes componentes: Serviço SMB principal, Navegadores Internet Explorer e Edge, e a interface do dispositivo gráfico.
O que é o patch virtual (IPS)?
Como explicado por TechTarget , o patch virtual é o rápido desenvolvimento e implementação a curto prazo de uma política de segurança destinada a impedir que uma exploração ocorra como consequência de um bug de segurança recém-encontrado.
Às vezes, um patch virtual é chamado de firewall de aplicativo da Web (WAF). Mais importante, um patch virtual protege os componentes de missão crítica que devem permanecer online. Dessa forma, operações importantes não serão interceptadas, como acontece quando um adesivo convencional é aplicado em uma situação de emergência.
relacionado: ESET CVE-2016-9892 falha expõe Macs a execução remota de código
Pesquisadores do TrendMicro destacam a importância do patch virtual como forma de mitigação contra o CVE-2017-0016, CVE-2017-0037, CVE-2017-0038 na ausência de patches.
CVE-2017-0016: Um olhar mais atento
A falha é uma corrupção de memória e está localizada na maneira como o Windows lida com o tráfego SMB. Para que um ataque ocorra, o sistema deve estar conectado a um servidor SMB mal-intencionado, que armazena pacotes, causando a falha do computador. O código de exploração de prova de conceito já foi feito para este, e os seus disponível publicamente.
Felizmente, a falha não permite a execução remota de código e só pode levar a um ataque de negação de serviço. Em termos de mitigação, Pesquisadores do TrendMicro Conselho Os seguintes:
– Limitar o acesso de saída nas portas 139 e 445.
– Implantar proteção IPS.
CVE-2017-0037: Em detalhe
Esta falha é um tipo de falha de confusão nos navegadores Internet Explorer e Edge. Para que a falha seja explorada, o invasor precisa fazer o usuário acessar um link da web malicioso, normalmente enviado por e-mail ou bate-papo, ou embutido em documentos.
O resultado de uma exploração CVE-2017-0037 é a execução arbitrária de código com os mesmos privilégios do usuário conectado.
relacionado: 15,000 Vulnerabilidades catalogadas em 2016, Falhas CVE excedido
Os pesquisadores aconselham o seguinte para fins de mitigação:
– Implantar proteção IPS
– Filtragem de e-mail para ataques de phishing
– Web Reputation para bloquear scripts hospedados
– Reduza contas com direitos de administrador para reduzir o risco
CVE-2017-0038: Em detalhe
Esta é uma falha no componente de interface de dispositivo gráfico do sistema operacional Windows. Um invasor precisa convencer o usuário a renderizar uma fonte ou imagem que pode ser incorporada a um documento. Isso pode acontecer via e-mail onde um anexo malicioso é servido, ou por meio de serviços de compartilhamento de arquivos.
O resultado de uma exploração bem-sucedida aqui é a divulgação de memória geralmente terminando com o vazamento de informações confidenciais. As mitigações disponíveis incluem:
– Implantar proteção IPS.
– Eduque os funcionários a não abrirem anexos, e para abrir links apenas de fontes confiáveis.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: