A disponibilização do Update Tuesday da Microsoft de abril de 2016 marca a primeira divulgação de boletins regulares desde que o TippingPoint, DVLabs e a Zero Day Initiative se tornaram parte da Trend Micro. Também é o primeiro lançamento de um boletim regular desde a Pwn2Own 2016.
A divulgação de abril também é notável devido à preocupação acerca da vulnerabilidade chamada de “Badlock” e a expectativa de que seria resolvida pelo servidor Samba e pela Microsoft.
Primeiramente: Samba e Microsoft realmente resolveram hoje a vulnerabilidade “Badlock”. A vulnerabilidade Badlock no Samba é a CVE-2016-2118 e foi corrigida pelo Samba 4.4.2, 4.3.8 e 4.2.11. No Microsoft Windows, o Badlock é a CVE-2016-0128 e foi corrigida pelo Boletim de Segurança da Microsoft MS16-047.
Após a controversa divulgação parcial da vulnerabilidade “Badlock” em março, algumas pessoas previram que ela poderia ser tão ruim quanto a MS08-067, a vulnerabilidade explorada pelo worm Conficker. Usando as palavras do antigo candidato a Vice-presidente dos EUA em 1988, Lloyd Bentsen: Eu conhecia o Conficker. Conficker era um adversário meu. Você, Badlock, não é o Conficker. Como meu colega Pawan Kinger apontou em sua detalhada postagem nesse blog aqui, as duas vulnerabilidades não são nada parecidas em termos de gravidade ou explorabilidade. O Badlock precisa ser corrigido, mas não deve estar no topo de sua lista de prioridades. E para explicar melhor quão ruim o Conficker realmente é, é importante notar que SETE anos depois do grande surto do Conficker em 2008/2009, o Conficker/DOWNAD AINDA é o principal malware afetando empresas em algumas partes do mundo, segundo nosso Relatório Anual de Segurança de 2015 (página 28).
Ao invés do MS16-047, o que deveria estar no topo de sua lista de prioridades são as atualizações de segurança centradas no Adobe Flash, Microsoft Windows. Microsoft Internet Explorer e Microsoft Edge: MS16-050, MS16-037, MS16-039, MS16-042, MS16-038 e MS16-040. Todas elas foram classificadas como “Críticas” pela Microsoft e têm um índice de classificação de explorabilidade de 1 ou 2.
A atualização para o Adobe Flash (MS MS16-050) foi originalmente divulgada fora do ciclo diretamente pela Adobe na semana passada como APSB16-10 e resolve ataques de dia-zero contra versões mais antigas, que nós e outros relatamos na semana passada. Hoje, a Microsoft está oferecendo a atualização também em seus canais.
Nesse mês, um um total de 10 vulnerabilidades foram corrigidas, relatadas por ou através de nossa Zero Day Initiative. As correções de hoje incluem todas as quatro vulnerabilidades do Adobe que foram encontradas na Pwn2Own 2016. Com essa divulgação, a Adobe corrigiu todas as suas vulnerabilidades da Pwn2Own 2016, tornando-o o primeiro fornecedor a corrigir todas as suas vulnerabilidades descobertas na Pwn2Own 2016.
Proteções do Cliente
Os clientes do Deep Security e Vulnerability Protection estão protegidos contra a MS16-047 com a atualização DSRU16-009 do Deep Security, disponibilizada em 12 de abril de 2016.
Clientes do TippingPoint têm as seguintes proteções com filtros para essas vulnerabilidades:
• CVE-2016-1015 ZDI-16-227 24027
• CVE-2016-1016 ZDI-16-226 24024
• CVE-2016-1017 ZDI-16-225 24025
• CVE-2016-1018 ZDI-16-228 24022
• CVE-2016-0157 ZDI-16-232 22747
• CVE-2016-0158 ZDI-16-233 24036
• CVE-2016-0159 ZDI-16-231 24113
• CVE-2016-0166 ZDI-16-230 24115
• CVE-2016-0148 ZDI-16-234 24263
MS16-047 (Badlock)
• CVE-2016-0128 NA 24259 & 24260
Se há uma lição a ser aprendida com a disponibilização de hoje, é que uma pré-divulgação apresenta um risco: um risco de exagero e um risco de má alocação de recursos de segurança. Muitas empresas estão se preparando para ficar à frente de riscos mais sérios que enfrentam sendo uma vulnerabilidade de execução de código baseado em rede, não autenticado, no contexto do SISTEMA. Isso é o que o Conficker era. Ao contrário, as questões mais graves de hoje são as vulnerabilidades com vetores de ataque baseados em navegadores que podem executar códigos, mas no contexto de segurança do usuário. Muitas empresas agora têm que repensar suas estratégias de testes e implementações para lidar com as ameaças reais ao invés de ameaças esperadas.