Darren Mar-Elia

Actualização de 29 de Julho de 2019: Com mais de 800 000 sistemas Windows ainda não corrigidos e vulneráveis (em 2 de Julho), a preocupação com o BlueKeep continua elevada, especialmente depois de um guia detalhado sobre como escrever um exploit foi publicado online na semana passada. Outras indicações de que a vulnerabilidade não está a passar despercebida incluem a publicação de um exploit e a descoberta de malware que procura computadores vulneráveis. Actualize os seus sistemas afectados e verifique as suas capacidades de recuperação agora!

 

A vulnerabilidade do Windows abre a porta ao próximo WannaCry

Passaram pouco mais de dois anos desde o WannaCry, o ransomware que explorou a vulnerabilidade EternalBlue para infectar centenas de milhares de computadores em todo o mundo e infligir danos estimados em 8 mil milhões de dólares.

Se a história se repetir, vamos ter outro assalto nos próximos 30 dias.

Em 14 de Maio, a Microsoft lançou correcções para uma vulnerabilidade crítica de Execução Remota de Código(CVE-2019-0708) - um bug agora conhecido como BlueKeep - e instou os clientes a actualizarem todos os sistemas afectados o mais rapidamente possível.

Na semana passada, a Agência de Segurança Nacional dos EUA (NSA) emitiu o seu próprio aviso sobre cibersegurança, reiterando a necessidade de tomar medidas.

Os ataques do WannaCry começaram 59 dias depois de a Microsoft ter lançado correcções para o EternalBlue. Aplicar um prazo semelhante ao BlueKeep significa que podemos começar a ver ataques em Julho, mesmo a tempo de estragar as nossas férias de Verão. É claro que o tempo de espera pode ser menor... ou maior.

Estamos preparados?

A questão não é apenas saber se actualizámos os sistemas afectados: a aplicação atempada de patches é extremamente importante, mas não é suficiente. A preparação também requer a existência de um processo de recuperação reforçado para os casos em que - apesar dos nossos melhores esforços ou devido a vulnerabilidades recentemente descobertas - os atacantes conseguem entrar.

Quer tenha sido ou não afectado pelo BlueKeep, é uma boa altura para rever o seu processo de recuperação. Alguns aspectos a considerar:

  • Podemos aceder às nossas cópias de segurança. Os atacantes não vão apenas atrás das nossas aplicações e dados de produção, vão também atrás das nossas cópias de segurança ou, de forma colateral, dos sistemas que alojam as cópias de segurança. Certifique-se de que armazena as cópias de segurança (ou cópias de segurança) num local onde os ataques de ransomware e wiper não as possam alcançar.
  • O que fazer se as cópias de segurança estiverem infectadas. Muitas cópias de segurança incluem ficheiros executáveis, ficheiros de arranque e outros ficheiros do sistema operativo onde os rootkits e outro malware se podem esconder. A restauração de sistemas a partir desses backups também restaura o malware presente quando o backup foi feito. Isto defende a necessidade de ter uma forma de recuperar sistemas que não dependa de trazer de volta o sistema operativo original.
  • Podemos cumprir os objectivos de tempo de recuperação (RTOs) para as aplicações críticas. Identifique os seus processos empresariais críticos e as aplicações necessárias para os suportar. Mapeie a infra-estrutura de que essas aplicações dependem e certifique-se de que inclui o tempo de recuperação para essa infra-estrutura. Por exemplo, o Active Directory é um dos primeiros serviços que deve abranger, uma vez que a maioria das aplicações depende dele.

É também uma óptima altura para falar com a administração sobre a ciber-resiliência: esta última vulnerabilidade de segurança fornece um contexto real para a discussão. Contacte a administração de forma proactiva e informe-a sobre o problema, a sua exposição e o que falta no seu plano de recuperação.

Uma pesquisa rápida na Internet pode fornecer material para o debate. Eis alguns artigos que são particularmente "amigáveis" para os gestores: Aviso da Microsoft, Aviso de Cibersegurança da NSA

Não há dúvida de que se escreverá mais se (quando) começarem os ataques que exploram o BlueKeep.

Esteja preparado!