Evitar vulnerabilidades críticas em ambientes OT.
Dispomos de soluções que permitem reduzir o risco causado pelas vulnerabilidades críticas do sistema operativo.
Na passada terça-feira, a Microsoft lançou várias atualizações de segurança para corrigir 117 vulnerabilidades, 8 das quais são (eram) de dia zero e estão a ser exploradas ativamente.
Estas vulnerabilidades afetam uma multiplicidade de serviços da Microsoft: desde CIFS, Bing, Microsoft Dynamics, Exchange server, Office, Scripting Engine, DNS, Windows Shell, Windows SMB ou a própria pilha TCP/IP.
As principais vulnerabilidades que foram corrigidas são:
- CVE-2021-34448: vulnerabilidade crítica (CVSS 6.8) que permite a execução de código remoto em qualquer versão do Windows, incluindo os servidores.
- CVE-2021-34458: vulnerabilidade crítica (CVSS 9.9) que afeta o kernel do Windows e pode permitir a execução de código remoto.
- CVE-2021-31979 e CVE-2021-33771: vulnerabilidade com CVSS de 7.8 do kernel do Windows que pode permitir uma escalada de privilégios
- CVE-2021-33781: vulnerabilidade com CVSS 8.1 que afeta as funções de segurança de Active Directory
- CVE-2021-34494: falha importante no serviço DNS do Windows
e muitas mais…
Sem esquecer a CVE-2021-34527, ou “PrintNightmare” falha muito grave que afeta a fila de impressão da maioria das versões do Windows e que provocou que, em muitos casos, a única solução seja desativar a impressão, com as óbvias dificuldades que implica não poder imprimir.
Portanto, a recomendação óbvia é ATUALIZAR e instalar as correções de segurança.
Mas, e em ambientes OT?
Recordemos que em ambientes industriais encontramos uma multiplicidade de dispositivos que seguramente estão expostos a estas vulnerabilidades, mas a atualização dos seus sistemas operativos, como qualquer outra alteração, deve ser executada de forma procedimentada e estandardizada.
Nestes ambientes, verificamos que o tempo necessário para testar, validar e implementar as correções é tão grande que normalmente se sobrepõe com a seguinte “remessa” de correções a avaliar.
O resultado é que não se aplicam as correções, deixando os equipamentos expostos.
Seguindo uma estratégia de defesa em profundidade, se não pudermos mitigar a vulnerabilidade que coloca em risco os nossos ativos, o que se propõe é introduzir medidas complementares que permitam aumentar o nível de proteção. Para estes casos, propomos 3 vias complementares de atuação:
A) Sistema de monitorização, deteção de intrusões e anomalias.
Estes sistemas avaliam constantemente o tráfego que circula pela rede de maneira não intrusiva para alertar se for detetado qualquer elemento que seja suspeito.
Normalmente, instalam-se sondas de captura nos pontos estratégicos da rede para analisar o tráfego dos ataques conhecidos, assim como perfilar o comportamento “normal” dos dispositivos de rede e ser capaz de diferenciar os comportamentos anómalos.
Radiflow iSID é um bom exemplo de soluções deste tipo.
B) Sistemas de fortificação dos equipamentos finais expostos a estas vulnerabilidades sem a necessidade de instalar as correções.
TrendMicro StellarEnforce é um bom exemplo, esta solução permite criar uma lista branca do código que está permitido executar no equipamento. Qualquer tentativa de alteração ou de execução de aplicações não permitidas é detetada e interrompida. Desta forma, somos capazes de proteger os equipamentos de vulnerabilidades 0-day sem depender das correções oficiais, nem de atualizações recorrentes de padrões de ataques, nem da necessidade de nos conectarmos com nada adicional para manter o sistema atualizado.
C) Equipamentos muito críticos.
Para aqueles equipamentos tão críticos que, além disso, não se lhes pode instalar nada, pode optar-se pela tecnologia TXOne e intercalar um dispositivo IPS na sua conexão de rede. Com esta solução, consegue-se isolar os ativos críticos dos ataques de rede sem ter de recorrer a uma hipersegmentação da mesma.
Não solucionaremos a vulnerabilidade presente, mas impediremos que qualquer tráfego de rede malicioso possa explorá-la.
Em suma, ainda que não possamos aplicar as correções de segurança devido à idiossincrasia do ambiente, dispomos de soluções que permitem reduzir o risco causado pelas vulnerabilidades do sistema operativo.
