# M1050 — Exploit Protection ## Visão Geral *Fonte: [MITRE ATT&CK — M1050](https://attack.mitre.org/mitigations/M1050)* ## Descrição Implantar capacidades que detectam, bloqueiam e mitigam condições indicativas de exploração de software. Essas capacidades visam prevenir a exploração abordando vulnerabilidades, monitorando comportamentos anômalos e aplicando técnicas de mitigação de exploits para endurecer sistemas e software. ```mermaid graph TB A["🛡️ Habilitar proteções<br/>de SO: DEP + ASLR + CFG"] --> B["🔧 Hardening de apps<br/>Desabilitar macros / JScript"] B --> C["💊 Virtual Patching<br/>IPS bloqueia CVEs sem patch"] C --> D["🔍 EDR Comportamental<br/>Detecta exploits em runtime"] D --> E{"Exploit<br/>detectado?"} E -->|Sim| F["🚨 Bloquear + isolar<br/>processo / processo pai"] E -->|Não| G["✅ Execução<br/>monitorada"] ``` Proteções de Exploits do Sistema Operacional: - Caso de uso: Habilitar recursos nativos de proteção contra exploits fornecidos por sistemas operacionais modernos, como o Exploit Protection da Microsoft, que inclui técnicas como Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) e Control Flow Guard (CFG). - Implementação: Aplicar DEP para todos os programas e habilitar ASLR para randomizar endereços de memória usados por processos de sistema e aplicação. Windows: Configurar Exploit Protection pelo aplicativo Windows Security ou implantar configurações via Group Policy. `ExploitProtectionExportSettings.exe -path "exploit_settings.xml"` Linux: Utilizar recursos de hardening em nível de kernel como SELinux, AppArmor ou GRSEC para aplicar proteções de memória e prevenir exploits. Segurança de Endpoint de Terceiros: - Caso de uso: Utilizar ferramentas de proteção de endpoint com proteção integrada contra exploits, como proteção aprimorada de memória, monitoramento comportamental e detecção de exploits em tempo real. - Implementação: Implantar ferramentas para detectar e bloquear tentativas de exploração direcionadas a software sem patch. Virtual Patching: - Caso de uso: Utilizar ferramentas para implementar patches virtuais que mitigam vulnerabilidades em aplicações ou sistemas operacionais até que os patches oficiais sejam aplicados. - Implementação: Utilizar Intrusion Prevention System (IPS) para bloquear tentativas de exploração de vulnerabilidades conhecidas em aplicações desatualizadas. Hardening de Configurações de Aplicações: - Caso de uso: Desabilitar recursos de risco em aplicações que podem ser explorados, como macros no Microsoft Office ou JScript no Internet Explorer. - Implementação: Configurar Group Policies do Microsoft Office para desabilitar a execução de macros em arquivos baixados. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1212 | [[t1212-exploitation-for-credential-access\|T1212 — Exploitation for Credential Access]] | | T1218.015 | [[t1218-015-electron-applications\|T1218.015 — Electron Applications]] | | T1189 | [[t1189-drive-by-compromise\|T1189 — Drive-by Compromise]] | | T1218 | [[t1218-system-binary-proxy-execution\|T1218 — System Binary Proxy Execution]] | | T1210 | [[t1210-exploitation-of-remote-services\|T1210 — Exploitation of Remote Services]] | | T1068 | [[t1068-exploitation-for-privilege-escalation\|T1068 — Exploitation for Privilege Escalation]] | | T1211 | [[t1211-exploitation-for-defense-evasion\|T1211 — Exploitation for Defense Evasion]] | | T1203 | [[t1203-exploitation-for-client-execution\|T1203 — Exploitation for Client Execution]] | | T1190 | [[t1190-exploit-public-facing-application\|T1190 — Exploit Public-Facing Application]] | | T1218.011 | [[t1218-011-rundll32\|T1218.011 — Rundll32]] | | T1218.010 | [[t1218-010-regsvr32\|T1218.010 — Regsvr32]] | | T1080 | [[t1080-taint-shared-content\|T1080 — Taint Shared Content]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A proteção contra exploits permanece subimplementada na maioria dos SOCs brasileiros de médio porte: DEP e ASLR costumam estar habilitados por padrão no Windows moderno, mas o hardening de aplicações como desabilitação de macros do Office raramente é enforçado por GPO de forma consistente — uma lacuna muito explorada por grupos como [[tofsee]] e campanhas de malspam direcionadas ao Brasil. Organizações do setor financeiro reguladas pelo BACEN 4893 estão avançando mais rápido na adoção de EDR com exploit protection nativo (CrowdStrike, SentinelOne). > - Adoção em SOCs brasileiros: médio > - Regulamentações relevantes: BACEN 4893/2021, LGPD (Art. 46), CVM 35/2021 (gestão de riscos cibernéticos em fintechs) > - Desafios regionais: compatibilidade de DEP/CFG com aplicações legadas críticas, resistência de áreas de negócio a restrições de macros, e falta de processo de virtual patching para sistemas sem suporte oficial de patch