#CyberSecurityReport20H2: Microsoft corrige muito mais vulnerabilidades

Existem muitos relatórios de tendências e resumos de segurança, mas no ElevenPaths queremos fazer a diferença. Da equipe de Inovação e Laboratório, acabamos de lançar nosso próprio relatório sobre segurança cibernética que sintetiza os destaques do segundo semestre de 2020. A sua filosofia é oferecer uma visão global, concreta e útil dos dados e factos mais relevantes sobre a cibersegurança, e foi concebida para ser consumida por profissionais e amadores de uma forma simples e visualmente atraente.

O objetivo deste relatório é resumir as informações sobre cibersegurança nos últimos meses a partir de um ponto de vista que abrange a maioria dos aspectos desta disciplina, a fim de ajudar o leitor a compreender os riscos do cenário atual.

A informação recolhida baseia-se, em grande medida, na recolha e síntese de dados internos, contrastando com informação pública proveniente de fontes que consideramos de qualidade. Aqui estão alguns pontos que são importantes para nós.

#CyberSecurityReport20H2: dados gerais

Com relação à Microsoft, o número total de bugs descobertos e corrigidos é superior a 600 durante o semestre, igual ao anterior. Entendemos que a maioria dos bugs não autorizados podem resultar de vulnerabilidades encontradas em 0 dias ou outras circunstâncias em que o autor não é conhecido e não foi relatado anonimamente. Nesses casos, a Microsoft não dá crédito a ninguém em particular. Essa diferença entre vulnerabilidades confiáveis e «não autorizadas», que não é o mesmo que anônima, é refletida no gráfico a seguir:

Em comparação com o semestre anterior, os dados sobre quem descobre vulnerabilidades na Microsoft são muito diferentes. A longa fila de «outros» é a que lidera a lista. Isso significa que eles são descobertos por pesquisadores com menos de 5 falhas acumuladas. A iniciativa ZDI continua a ser (cada vez mais) a fórmula favorita dos pesquisadores. Zhiniang Peng se esgueira neste trimestre como um ator muito relevante com 66 falhas. Também é surpreendente que o Qihoo, responsável por centenas de bugs comumente descobertos nos anos anteriores, tenha desaparecido completamente da lista neste semestre.

A comparação com o semestre anterior é interessante:

Vulnerabilidades móveis

2020 fechou com 187 vulnerabilidades corrigidas no sistema operacional iOS, das quais 37 são consideradas de alto risco, com possibilidade de execução de código arbitrário. Alguns deles afetam o próprio núcleo do sistema.

No Android, este foi o segundo ano com vulnerabilidades mais declaradas.

Em relação ao relatório de transparência da Apple este ano, existem alguns fatos interessantes. Por exemplo, essas solicitações ocorrem quando agências de aplicação da lei agem em nome de clientes que requerem assistência relacionada a atividades fraudulentas em cartões de crédito ou cartões-presente que foram usados para comprar produtos Apple. Nesse sentido, a Espanha é um dos países mais ativos solicitando dados da empresa.

Com relação ao número de vulnerabilidades por fabricante, Microsoft, Google e Oracle continuam a lançar. Embora esse número deva ser visto da perspectiva da gravidade, número de produtos, etc.

Outras conclusões

No campo da segurança móvel, o número de vulnerabilidades no iOS continua sua tendência de aumento desde a retração em 2018. No contexto do Android, 2020 foi o segundo ano com as vulnerabilidades mais declaradas, depois do histórico 2017.

Em comparação com o semestre passado, o CWE-89 baseado em injeção de SQL e o CWE-287, que explica a autenticação deficiente, entram na lista. Problemas de anos atrás que nunca desaparecem entre as causas das vulnerabilidades conhecidas mais sérias. As primeiras posições da lista continuam intactas em comparação com o primeiro semestre.

Os grupos APT, por sua vez, não pararam de funcionar. Kimsuky (conhecido como “Velvet Chollima”) e Fancy Bear continuam no fundo do cânion, enquanto o Grupo OceanLotus foi desmascarado pelo Facebook.

Em um semestre em que quase todos os meses a Microsoft ultrapassou 100 vulnerabilidades corrigidas, Qihoo desta vez não aparece na lista de fabricantes que encontraram a maioria dos bugs. ZDI continua a ser a fórmula preferida para relatar (e recompensar) falhas graves.