risco afogamento

Patches incompletos cortam prazo de divulgação de zero days

Da Redação
11/08/2022

A Zero Day Initiative anunciou hoje na conferência Black Hat USA novos cronogramas de divulgaçãode falhas zero day: o prazo padrão de 120 dias para a maioria das vulnerabilidades permanece, mas para relatórios de bugs resultantes de patches defeituosos ou incompletos ocronograma será mais curto. A ZDI adotará prazos diferentes, com base na gravidade do bug e na eficácia da correção original. O primeiro prazo será de 30 dias para a maioria dos casos de classificação crítica, em que a exploração é detectada ou esperada. O segundo nível será de 60 dias para bugs críticos e de alta gravidade, onde o patch oferece algumas proteções. Por fim, haverá um prazo de 90 dias para as demais gravidades, em que não há previsão de exploração iminente. As extensões de prazo serão limitadas e concedidas caso a caso.

Veja isso
Patch Tuesday: Microsoft corrige falhas no Azure Site Recovery
Oracle: 419 patches na lista de correções em outubro

Brian Gorenc, diretor sênior de pesquisa de vulnerabilidades e chefe da ZDI, compartilhou sua perspectiva: “A ZDI divulgou mais de 10.000 vulnerabilidades para fornecedores desde 2005, mas nunca estivemos tão preocupados com o estado dos patches de segurança em todo o setor. Fornecedores que lançam patches inadequados com avisos confusos estão custando a seus clientes tempo e dinheiro significativos e adicionando riscos comerciais desnecessários”.

A ZDI identificou três problemas principais resultantes de fornecedores que liberam patches defeituosos ou incompletos:

  • Devido às práticas falhas dos fornecedores, as empresas não têm mais uma visão clara do verdadeiro risco para suas redes.
  • Devido a atualizações incompletas e defeituosas, as empresas gastam mais tempo e dinheiro corrigindo o que já corrigiram.
  • Devido à falsa crença de que a correção ocorreu, um patch com falha resulta em mais risco do que nenhum patch.
  • Esses cenários multiplicam efetivamente o custo da aplicação de patches porque serão necessárias atualizações corretivas adicionais para remediar uma única vulnerabilidade – desperdiçando recursos de negócios e aumentando o risco.

Além disso, uma crescente relutância entre os fornecedores em fornecer informações oficiais sobre patches em linguagem simples deixa os defensores da rede incapazes de avaliar com precisão sua exposição ao risco. Mesmo quando os patches são projetados adequadamente, eles podem aumentar involuntariamente o risco ao alertar os agentes de ameaças sobre a vulnerabilidade subjacente. O tempo de correção de algumas organizações é mais rápido do que o tempo de exploração. Quando os patches estão incompletos ou defeituosos, o risco de comprometimento é multiplicado.

Outro anúncio foi a criação de um novo identificador de Twitter para a ZDI: @thezdibugs. Esse feed tuitará apenas avisos que são um CVSS alto, zero day ou resultantes de Pwn2Own.

Compartilhar: