Você precisa olhar com bastante atenção para todas as vulnerabilidades e mitigações possÃveis dentro de um ambiente corporativo. Ignorar a forma com que olhamos para a segurança de nossos servidores e ambientes é um verdadeiro tiro no pé.
Portal MSRC - Ref: https://msrc.microsoft.com/update-guide/vulnerability
A Microsoft mantem um portal chamado https://msrc.microsoft.com/ que mostra as vulnerabilidades de suas soluções que não só identifica a vulnerabilidade como classifica seu potencial e risco operacional, como por exemplo, a vulnerabilidade de execução remota de código do Windows Lightweight Directory Access Protocol (LDAP) pelo CVE-2024-49112.
Neste portal você consegue identificar o tipo de vulnerabilidade, vetores de ataque, complexidade de ataque e até os privilégios necessários. Se usarmos como exemplo o CVE-2024-49112, podemos identificar que o impacto na confidencialidade, integridade e disponibilidade é alto nas métricas de pontuação base, tornando essa vulnerabilidade digna de atenção.
Inclusive existe uma diretriz de remediação disponÃvel de forma oficial.
O NÃvel de Remediação de uma vulnerabilidade é um fator importante para priorização e tratativa dentro de seu ambiente computacional. A vulnerabilidade tÃpica não é corrigida quando publicada inicialmente.
Soluções alternativas ou hotfixes podem oferecer remediação provisória até que um patch ou atualização oficial seja emitido. Cada um desses respectivos estágios ajusta a pontuação temporal para baixo, refletindo a urgência decrescente conforme a remediação se torna final.
Existe alguma ação que um cliente pode tomar para se proteger contra essa vulnerabilidade caso não consiga aplicar a atualização pelo CVE-2024-49112?
Conforme orientação da própria Microsoft, certifique-se de que os controladores de domÃnio estejam configurados para não acessar a internet ou para não permitir RPC de entrada de redes não confiáveis (o que não é nenhuma novidade). Embora qualquer uma das mitigações proteja seu sistema dessa vulnerabilidade, aplicar ambas as configurações fornece uma defesa eficaz em profundidade contra essa vulnerabilidade.
RPC e LDAP são publicados externamente por meio de SSL. O que essa mitigação significa no contexto de conectividade de rede externa?
Aplicar as mitigações diminuirá o risco de um invasor convencer ou enganar com sucesso uma vÃtima para se conectar a um servidor malicioso. Se uma conexão for feita, o invasor pode enviar solicitações maliciosas ao alvo por SSL.
Que ações os clientes precisam realizar para se protegerem contra essa vulnerabilidade?
Esta vulnerabilidade afeta tanto clientes LDAP quanto servidores executando uma versão afetada do Windows listada na tabela Atualizações de Segurança. Os clientes devem aplicar a atualização de segurança mais recente para sua versão do Windows para serem protegidos contra esta vulnerabilidade.
Como um invasor pode explorar essa vulnerabilidade?
Um invasor remoto não autenticado que explorasse com sucesso essa vulnerabilidade ganharia a habilidade de executar código arbitrário dentro do contexto do serviço LDAP. No entanto, a exploração bem-sucedida depende de qual componente é o alvo.
No contexto da exploração de um controlador de domÃnio para um servidor LDAP, para ter sucesso, um invasor deve enviar chamadas RPC especialmente criadas ao alvo para acionar uma pesquisa do domÃnio do invasor a ser realizada para ter sucesso.
No contexto de exploração de um aplicativo cliente LDAP, para ter sucesso, um invasor deve convencer ou enganar a vÃtima a executar uma pesquisa de controlador de domÃnio para o domÃnio do invasor ou a se conectar a um servidor LDAP malicioso. No entanto, chamadas RPC não autenticadas não teriam sucesso.
Um invasor poderia aproveitar túneis RPC de entrada conectados ao Windows 11 para explorar essa vulnerabilidade com sucesso?
Sim, um invasor pode usar uma conexão RPC com um controlador de domÃnio para acionar operações de pesquisa do controlador de domÃnio no domÃnio do invasor.
O que são mitigações?
Se o atacante não pode explorar uma vulnerabilidade, a chance de proteção é maior. Existem casos em que uma vulnerabilidade não possui correção (zero day) ou precisa ser simplesmente aceita, naquele dado momento (pior cenário possÃvel), pois bem... neste caso você pode aumentar a força de segurança do perÃmetro em volta do ambiente vulnerável, aumentando o esforço para alcançar a vulnerabilidade. Exemplo prático, adicionar estruturas de jump server fÃsica e logicamente apartadas de um ambiente problemático.
Monitoração constante e aplicação de sistemas IDS e IPS com times de resposta rápida e um break glass de prontidão. Nà o existe uma receita de bolo ok, deve-se entender a vulnerabilidade, seus riscos e à cima de tudo, ter consciência financeira do impacto ao nome e marca da empresa ao manter o risco ativo. Em fim... um bom estudo de consequência vai muito bem neste cenário.
Quando falamos sobre mitigação de risco de rede, estamos abordando estratégias para reduzir ameaças que podem impactar sistemas e dados. É como um plano de segurança para proteger a casa onde você mora, mas aplicado a redes de computadores. Podemos dividir essas estratégias em três nÃveis principais:
1. Prevenção (Proativo)
Esse é o momento de "fechar as portas e janelas" antes que algo aconteça. Algumas ações tÃpicas:
- Firewall e controle de acesso: Configurações para bloquear acessos não autorizados.
- Atualizações regulares: Manter sistemas e softwares atualizados para evitar brechas.
- Treinamento de usuários: Ensinar as pessoas a reconhecerem e evitarem golpes, como phishing.
2. Detecção (Reativo)
Aqui, o foco é "detectar movimentos suspeitos". Mesmo com prevenção, é importante ter sistemas que monitorem a rede e alertem sobre problemas:
- Monitoramento em tempo real: Ferramentas que observam tudo o que acontece na rede.
- Sistemas de detecção de intrusão (IDS): Detectam atividades anormais ou não autorizadas.
- Alertas automáticos: Informam quando algo estranho ocorre, como acesso fora do horário habitual.
3. Resposta e Recuperação (Corretivo)
Se algo der errado, o plano é "agir rapidamente para minimizar os danos":
- Plano de resposta a incidentes: Um guia claro de ações a tomar.
- Backups: Garantir que dados importantes possam ser recuperados rapidamente.
- Análise pós-incidente: Entender o que aconteceu para melhorar a segurança no futuro.