K2 divulga solução para impedir a exploração de vulnerabilidades zero-day

A K2 Cyber Security, empresa baseada nos Estados Unidos e que lida com segurança da informação, afirma ter desenvolvido uma tecnologia, capaz de impedir a exploração de falhas de segurança não divulgadas e ainda não corrigidas em aplicações, mais conhecidas como vulnerabilidades zero-day.

A solução utilizada pela empresa envolve o mapeamento do funcionamento da aplicação, através de uma única análise e, em seguida, realizar o monitoramento desta baseado no comportamento mapeado, o que alegadamente impediria a ocorrência de eventos falso positivos.

“Isso nunca foi feito antes”, afirmou Pravin Madhani, CEO e co-fundador da K2. “Por ser muito difícil de realizar. Somos capazes de criar um mapa de execução para cada aplicação em minutos, e depois monitorá-lo em tempo real. Não há falso positivos.”

A tecnologia empregada nesse tipo de situação é conhecida como Control Flow Integrity (CFI), cujo significado, em uma tradução livre, seria Controle de Integridade de Fluxo, o que atualmente é realizado através de abordagens tradicionais, identificando ações potencialmente maliciosas, que podem demandar a verificação de infinitas combinações de atividades, acarretando em erros nessa detecção gerados por falso positivos ou falso negativos. Esse tipo de abordagem também gera sobrecarga na performance dos sistemas, bem como podem demandar hardware adicional.

Com a melhoria promovida pela K2 no CFI, um mapa de execução da aplicação é criado, como se fosse um baseline de seu funcionamento, permitindo a partir daí que a mesma seja monitorada e interromper a sua operação caso sejam detectadas tentativas de alteração nesse fluxo. A otimização também é aplicável a microserviços utilizados em nuvens privadas e públicas.

A empresa submeteu sete patentes para a proteção da propriedade intelectual envolvida na melhoria promovida junto ao CFI, que é oferecida através de dois módulos distintos: um nomeado como Prevent, algo como Prevenção em uma tradução livre, que detecção em tempo real de ataques zero-day, e outro chamado Segment, que tem o sentido de segmentação, e que isola as cargas de trabalho na nuvem, atribuindo identidades criptográficas exclusivas para cada uma delas antes que estas possam se comunicar. Isso impede o movimento lateral de malwares em ambientes de TI.

Para acessar o artigo original, dirijam-se ao site ZDNet.

Vulnerabilidades descobertas no Systemd

Como vocês provavelmente já ouviram falar, foram descobertas recentemente três novas vulnerabilidades no Systemd, que é um sistema de inicialização e gerenciador de serviços, utilizado em distribuições GNU/Linux populares como Red Hat e Debian, bem como em algumas destas derivadas.

Pesquisadores ligados à Qualys Inc. descobriram e reportaram as vulnerabilidades, que receberam as designações CVE-2018-16864, CVE-2018-16865, e CVE-2018-16866.

As informações publicadas no site The Hacker News, apontam que distribuições como SUSE Linux Enterprise 15, openSUSE Leap 15.0, e Fedora 28 and 29 não foram afetadas, visto que o código do espaço do usuário é compilado utilizando a opção fstack-clash-protection do GCC, protegendo este espaço contra ataques Stack Clash, que em uma tradução livre seriam ataques de “Colisão de Pilha”.

A vulnerabilidade Stack Clash é relatada pela própria Qualys como sendo uma falha que afeta não só a sistemas GNU/Linux, mas também OpenBSD, NetBSD, FreeBSD e Solaris, tanto em ambientes i386 quanto amd64.

“Cada programa executado em um computador usa uma região de memória especial chamada pilha. Essa região de memória é especial porque cresce automaticamente quando o programa precisa de mais memória de pilha. Mas se crescer muito e ficar muito perto de outra região de memória, o programa pode confundir a pilha com a outra região de memória. Um invasor pode explorar essa confusão para sobrescrever a pilha com a outra região de memória ou vice-versa”, informa o blog da Qualys.

Duas das falhas descobertas recentemente revelam problemas de corrupção de memória, enquanto a terceira expõe um problema de leitura fora do limite no systemd-journald, que pode permitir o vazamento de dados sensíveis da memória do processo em execução.

Os pesquisadores criaram com sucesso provas de conceito que verificam as vulnerabilidades, e planejam liberá-las em um futuro próximo, provavelmente após as falhas terem sido corrigidas e estas correções liberadas ao público.

“Nós desenvolvemos um exploit para a CVE-2018-16865 e a CVE-2018-16866 que obtém um shell local com  privilégios de administrador em 10 minutos em ambientes i386, e em 70 minutos em ambientes amd64, em média”, informaram os pesquisadores.

O CVE-2018-16864 é semelhante a uma vulnerabilidade Stack Clash que os pesquisadores da Qualys descobriram ainda em 2017, e que pode ser explorada por malware, ou por usuários com poucos privilégios, escalando suas permissões para o nível de administrador.

O Systemd não faz parte da distribuição Slackware Linux, que atualmente é disponibilizada em versão estável de número 14.2, mas que utiliza um sistema de inicialização compatível com o System V desde sua versão 7.0.

A recomendação aos usuários e administradores de sistemas, sendo estes afetados ou não pelas vulnerabilidades descobertas, é a de sempre acompanhar a disponibilização de atualizações de segurança, liberadas pela equipe de desenvolvimento do sistema operacional utilizado, ou administrado, e aplicar estas correções tão logo estejam disponíveis.

A realização de backups de segurança dos dados pessoais constantes nestes sistemas deve ser uma rotina, e evita que atualizações problemáticas, ou mesmo causas diversas, gerem a perda de dados.

Como complemento oferecido por um dos profissionais que acompanham o blog, Deiverson Silveira, segue o link para o comunicado oficial a respeito das vulnerabilidades, e publicado pelos pesquisadores da Qualys.

Comissão Européia lança programa de recompensas por bugs em softwares livres

Estando entre os recursos mais utilizados por empresas, os programas de recompensa pela descoberta de vulnerabilidades premiam pesquisadores em segurança da informação, que localizam e reportam falhas de segurança em aplicações e sistemas.

Em reconhecimento à força desta estratégia, a União Européia lançou, ainda em 2014, a primeira fase de sua iniciativa para auditar softwares livres, o projeto FOSSA – Free and Open Source Software Audit, onde dois projetos foram contemplados inicialmente com auditorias de segurança, sendo estes o projeto Apache e o Keepass. Esta primeira fase durou dois anos, indo de 2015 até o final de 2016.

Em 2017, a iniciativa foi renovada para um período de mais três anos, e teve um piloto para o oferecimento de bug bounties utilizando o player multimídia VLC, permitindo que a Comissão Européia obtivesse experiência na execução da oferta de recompensas por falhas.

Em abril de 2018 foi aberta uma chamada pública para licitações e, em outubro do mesmo ano, as empresas foram definidas como as principais executoras do projeto, sendo estas a HackerOne e Intigriti.

Agora, iniciando em janeiro de 2019, o programa de recompensas para as falhas foi extendido para 15 aplicações de código aberto, consideradas como sendo de grande importância para a manutenção da infraestrutura de Internet, e também para o uso da população. A nova fase vai distribuir o equivalente a € 851.000 (oitocentos e cinquenta e um mil Euros).

Segundo Julia Reda, uma das idealizadoras do projeto, um dos principais objetivos do projeto FOSSA é “estabelecer a segurança dos softwares livres como um item permanente no orçamento da União Européia”.

Também estão previstas para esta fase a realização de Hackathons, com o objetivo de aproximar os desenvolvedores destas aplicações junto às instituições européias e os próprios mantenedores dos projetos de código aberto, para que possam colaborar de maneira mais próxima para o desenvolvimento destes softwares, facilitando o intercâmbio de conhecimento.

Veja abaixo a tabela, com uma tradução livre para os títulos da colunas, onde estão dispostos os projetos contemplados pela iniciativa, além das datas de início e fim da captação dos reportes de vulnerabilidades, bem como as plataformas onde estes reportes devem ser feitos para concorrer às premiações. Para acessar a página com o anúncio oficial, e também visualizar a tabela original, em inglês, acessem este link.