Muitos navegadores não corrigidos, mostra o estudo

Pesquisadores da Menlo Security descobriram que, enquanto dois terços de seus clientes executam a versão mais recente do Google Chrome (.86), impressionantes 83% executam versões do navegador que são vulneráveis ​​a recentes ataques de dia zero identificados pelo Google. 

Vinay Pidathala, diretor de pesquisa de segurança da Menlo, diz que muitos desses usuários do Chrome não estão executando versões corrigidas dos navegadores. Isso é um problema porque o Google lançou recentemente patches  para cinco vulnerabilidades de dia zero que visam o navegador Chrome , e mais com certeza virão, diz ele.

“Não há dúvida de que mais desses ataques de dia zero aos navegadores Chrome estão a caminho”, diz Pidathala. “Os invasores atacaram o Internet Explorer e os sistemas operacionais da Microsoft e continuarão a se concentrar no Chrome porque ele se tornou o navegador mais popular. Acreditamos que eles continuarão com ataques mais direcionados para roubar propriedade intelectual ou simplesmente para obter ganhos financeiros.”

Mehul Patel, diretor de marketing de produto da Menlo, diz que embora alguns possam questionar por que as empresas não estão executando versões atualizadas do Chrome, nem sempre é tão simples para as equipes de segurança executar as atualizações. As atualizações bem-sucedidas dependem da reinicialização do navegador pelos usuários, e muitos usuários não perdem tempo para reiniciá-lo, explica ele. Em segundo lugar, muitas empresas têm aplicativos legados que são executados em navegadores mais antigos, portanto, nem sempre é fácil para elas atualizarem para a versão mais recente do Chrome.

Como leva tempo para as pessoas atualizarem seus aplicativos, os invasores continuarão a visar o navegador Chrome, observa Hank Schless, gerente sênior de soluções de segurança da Lookout.

“Essas vulnerabilidades só são corrigidas se o usuário atualizar seu aplicativo”, diz Schless. “Como muitas pessoas não têm as atualizações automáticas ativadas, é provável que os invasores ainda consigam explorar essas vulnerabilidades. No caso de uma exploração bem-sucedida no celular, o ator da ameaça obtém acesso a qualquer coisa que o aplicativo Chrome possa acessar. Isso inclui histórico de navegação, câmera e microfone e dados de localização. “

Isso pode colocar os dados da empresa em risco, diz ele, quando um usuário do Chrome acessa recursos corporativos.A lacuna de correção do Chrome entre os clientes da MenloFonte: Menlo Security

Como solução, a Menlo oferece sua Cloud Security Platform baseada em isolamento , que Patel diz que atua como um “airgap” que executa todo o conteúdo da Web ativo longe do endpoint, neutralizando assim a vulnerabilidade de dia zero. 

Michael Suby, vice-presidente de pesquisa da IDC que cobre a segurança, diz que as descobertas de Menlo destacam o fato de que os invasores encontrarão e explorarão vulnerabilidades de software.

“Na velocidade em que os atacantes operam, [os defensores] detectam e respondem à exploração mais recente não é uma abordagem preventiva infalível”, diz ele. [Essas] tecnologias de isolamento oferecem alternativas para mitigar o navegador como um vetor de ataque, permitindo que os usuários finais continuem suas atividades baseadas no navegador. “

Para recapitular, aqui está um resumo do dia zero corrigido pelo Google no início deste mês:

• CVE-2020-16009 e CVE-2020-16013 permitem que os invasores acessem o navegador. A vulnerabilidade permite que o JavaScript malicioso saia da caixa de proteção criada no tempo de execução, permitindo que o invasor execute código nativo dentro do processo de renderização do Chrome.
• A CVE-2020-15999 focou no uso de fontes em um site que o usuário visita. O componente que analisa as fontes baixadas dá ao hacker acesso ao navegador.
• O CVE-2020-16017 permite que um invasor controle o navegador e obtenha acesso aos arquivos localizados no dispositivo.
• O CVE-2020-16010 permite que um invasor assuma o controle do navegador em dispositivos Android para obter acesso aos arquivos localizados no dispositivo móvel.

Steve Zurier tem mais de 30 anos de experiência em jornalismo e publicação e cobre redes, segurança e TI como redator e editor desde 1992. Steve mora em Columbia, Maryland. Veja a biografia completa

Fonte: https://www.darkreading.com/endpoint/unpatched-browsers-abound-study-shows/d/d-id/1339486