m1042-disable-or-remove-feature-or-program

# M1042 — Disable or Remove Feature or Program ## Visão Geral *Fonte: [MITRE ATT&CK — M1042](https://attack.mitre.org/mitigations/M1042)* ## Descrição Desabilite ou remova software, funcionalidades ou serviços desnecessários e potencialmente vulneráveis para reduzir a superfície de ataque e prevenir o abuso por adversários. Isso envolve identificar software ou funcionalidades que não são mais necessários ou que poderiam ser explorados, garantindo que sejam removidos ou adequadamente desabilitados. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["🔍 Inventário Mapear features e serviços ativos"] --> B["⚠️ Análise de Risco Identificar itens desnecessários"] B --> C["🚫 Desabilitar SMBv1, Telnet, RDP, macros"] C --> D["🗑️ Remover Flash, Java legado, plugins"] D --> E["📜 Política GPO + MDM enforcement"] E --> F["🔄 Revisão Periódica Auditoria trimestral de features"] ``` Remover Software Legado: - Caso de uso: Desabilite ou remova versões antigas de software que não recebem mais atualizações ou patches de segurança (ex.: Java legado, Adobe Flash). - Implementação: Uma empresa remove o Flash Player de todos os sistemas dos funcionários após atingir o fim de vida útil. Desabilitar Funcionalidades Não Utilizadas: - Caso de uso: Desative funcionalidades desnecessárias do sistema operacional, como SMBv1, Telnet ou RDP, caso não sejam necessários. - Implementação: Desabilite o SMBv1 em um ambiente Windows para mitigar vulnerabilidades como o EternalBlue. Controlar Aplicações Instaladas por Usuários: - Caso de uso: Impeça que usuários instalem software não autorizado por meio de políticas de grupo ou outras ferramentas de gerenciamento. - Implementação: Bloqueie a instalação de aplicações de compartilhamento de arquivos não autorizadas (ex.: clientes BitTorrent) em ambiente corporativo. Remover Serviços Desnecessários: - Caso de uso: Identifique e desabilite serviços padrão desnecessários em execução em endpoints, servidores ou dispositivos de rede. - Implementação: Desabilite compartilhamentos administrativos não utilizados (ex.: C$, ADMIN$) em estações de trabalho. Restringir Add-ons e Plugins: - Caso de uso: Remova ou desabilite plugins e add-ons de navegador que não sejam necessários para fins empresariais. - Implementação: Desabilite plugins Java e ActiveX em navegadores web para prevenir ataques de drive-by. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1547.007 | [[t1547-007-re-opened-applications\|T1547.007 — Re-opened Applications]] | | T1021.004 | [[t1021-004-ssh\|T1021.004 — SSH]] | | T1671 | [[t1671-cloud-application-integration\|T1671 — Cloud Application Integration]] | | T1021.005 | [[t1021-005-vnc\|T1021.005 — VNC]] | | T1210 | [[t1210-exploitation-of-remote-services\|T1210 — Exploitation of Remote Services]] | | T1059.005 | [[t1059-005-visual-basic\|T1059.005 — Visual Basic]] | | T1595.003 | [[t1595-003-wordlist-scanning\|T1595.003 — Wordlist Scanning]] | | T1021.006 | [[t1021-006-windows-remote-management\|T1021.006 — Windows Remote Management]] | | T1559 | [[t1559-inter-process-communication\|T1559 — Inter-Process Commúnication]] | | T1564.006 | [[t1564-006-run-virtual-instance\|T1564.006 — Run Virtual Instance]] | | T1557.001 | [[t1557-001-llmnrnbt-ns-poisoning-and-smb-relay\|T1557.001 — LLMNR/NBT-NS Poisoning and SMB Relay]] | | T1046 | [[t1046-network-service-discovery\|T1046 — Network Service Discovery]] | | T1218.015 | [[t1218-015-electron-applications\|T1218.015 — Electron Applications]] | | T1127.002 | [[t1127-002-clickonce\|T1127.002 — ClickOnce]] | | T1649 | [[t1649-steal-or-forge-authentication-certificates\|T1649 — Steal or Forge Authentication Certificates]] | | T1114.003 | [[t1114-003-email-forwarding-rule\|T1114.003 — Email Forwarding Rule]] | | T1557 | [[t1557-adversary-in-the-middle\|T1557 — Adversary-in-the-Middle]] | | T1011 | [[t1011-exfiltration-over-other-network-medium\|T1011 — Exfiltration Over Other Network Medium]] | | T1098 | [[t1098-account-manipulation\|T1098 — Account Manipulation]] | | T1052.001 | [[t1052-001-exfiltration-over-usb\|T1052.001 — Exfiltration over USB]] | | T1553.005 | [[t1553-005-mark-of-the-web-bypass\|T1553.005 — Mark-of-the-Web Bypass]] | | T1505 | [[t1505-server-software-component\|T1505 — Server Software Component]] | | T1127.003 | [[t1127-003-jámplus\|T1127.003 — JámPlus]] | | T1059.001 | [[t1059-001-powershell\|T1059.001 — PowerShell]] | | T1218.008 | [[t1218-008-odbcconf\|T1218.008 — Odbcconf]] | | T1091 | [[t1091-replication-through-removable-media\|T1091 — Replication Through Removable Media]] | | T1137 | [[t1137-office-application-startup\|T1137 — Office Application Startup]] | | T1546.002 | [[t1546-002-screensaver\|T1546.002 — Screensaver]] | | T1059 | [[t1059-command-and-scripting-interpreter\|T1059 — Command and Scripting Interpreter]] | | T1021.003 | [[t1021-003-distributed-component-object-model\|T1021.003 — Distributed Component Object Model]] | | T1021.001 | [[t1021-001-remote-desktop-protocol\|T1021.001 — Remote Desktop Protocol]] | | T1555.004 | [[t1555-004-windows-credential-manager\|T1555.004 — Windows Credential Manager]] | | T1092 | [[t1092-communication-through-removable-media\|T1092 — Commúnication Through Removable Media]] | | T1563.002 | [[t1563-002-rdp-hijacking\|T1563.002 — RDP Hijacking]] | | T1218.013 | [[t1218-013-mavinject\|T1218.013 — Mavinject]] | | T1563 | [[t1563-remote-service-session-hijacking\|T1563 — Remote Service Session Hijacking]] | | T1098.004 | [[t1098-004-ssh-authorized-keys\|T1098.004 — SSH Authorized Keys]] | | T1557.002 | [[t1557-002-arp-cache-poisoning\|T1557.002 — ARP Cache Poisoning]] | | T1219.002 | [[t1219-002-remote-desktop-software\|T1219.002 — Remote Desktop Software]] | | T1218.012 | [[t1218-012-verclsid\|T1218.012 — Verclsid]] | | T1218.005 | [[t1218-005-mshta\|T1218.005 — Mshta]] | | T1563.001 | [[t1563-001-ssh-hijacking\|T1563.001 — SSH Hijacking]] | | T1133 | [[t1133-external-remote-services\|T1133 — External Remote Services]] | | T1218.007 | [[t1218-007-msiexec\|T1218.007 — Msiexec]] | | T1564.007 | [[t1564-007-vba-stomping\|T1564.007 — VBA Stomping]] | | T1059.007 | [[t1059-007-javascript\|T1059.007 — JavaScript]] | | T1609 | [[t1609-container-administration-command\|T1609 — Container Administration Command]] | | T1218.004 | [[t1218-004-installutil\|T1218.004 — InstallUtil]] | | T1127.001 | [[t1127-001-msbuild\|T1127.001 — MSBuild]] | | T1011.001 | [[t1011-001-exfiltration-over-bluetooth\|T1011.001 — Exfiltration Over Bluetooth]] | | T1218.014 | [[t1218-014-mmc\|T1218.014 — MMC]] | | T1552.005 | [[t1552-005-cloud-instance-metadata-api\|T1552.005 — Cloud Instance Metadata API]] | | T1546.014 | [[t1546-014-emond\|T1546.014 — Emond]] | | T1021 | [[t1021-remote-services\|T1021 — Remote Services]] | | T1021.008 | [[t1021-008-direct-cloud-vm-connections\|T1021.008 — Direct Cloud VM Connections]] | | T1137.001 | [[t1137-001-office-template-macros\|T1137.001 — Office Templaté Macros]] | | T1505.003 | [[t1505-003-web-shell\|T1505.003 — Web Shell]] | | T1205 | [[t1205-traffic-signaling\|T1205 — Traffic Signaling]] | | T1218 | [[t1218-system-binary-proxy-execution\|T1218 — System Binary Proxy Execution]] | | T1052 | [[t1052-exfiltration-over-physical-medium\|T1052 — Exfiltration Over Physical Medium]] | | T1218.009 | [[t1218-009-regsvcsregasm\|T1218.009 — Regsvcs/Regasm]] | | T1221 | [[t1221-template-injection\|T1221 — Templaté Injection]] | | T1562 | [[t1562-impair-defenses\|T1562 — Impair Defenses]] | | T1559.002 | [[t1559-002-dynamic-data-exchange\|T1559.002 — Dynamic Data Exchange]] | | T1562.010 | [[t1562-010-downgrade-attack\|T1562.010 — Downgrade Attack]] | | T1098.002 | [[t1098-002-additional-email-delegate-permissions\|T1098.002 — Additional Email Delegate Permissions]] | | T1127 | [[t1127-trusted-developer-utilities-proxy-execution\|T1127 — Trusted Developer Utilities Proxy Execution]] | | T1611 | [[t1611-escape-to-host\|T1611 — Escape to Host]] | | T1219 | [[t1219-remote-access-tools\|T1219 — Remote Access Tools]] | | T1098.001 | [[t1098-001-additional-cloud-credentials\|T1098.001 — Additional Cloud Credentials]] | | T1218.003 | [[t1218-003-cmstp\|T1218.003 — CMSTP]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A desabilitação de funcionalidades desnecessárias é amplamente recomendada mas pouco práticada no Brasil fora de ambientes regulados. Vulnerabilidades como EternalBlue (SMBv1) e exploits de macros do Office continuam sendo vetores frequentes em ataques a organizações brasileiras anos após patches disponíveis. O ransomware LockBit explorou extensivamente RDP exposto em empresas brasileiras — um serviço que deveria ter sido desabilitado ou restrito. SOCs maduros no setor financeiro brasileiro têm planos formais de redução de superfície de ataque. > - Adoção em SOCs brasileiros: médio (grandes empresas reguladas) / baixo (PMEs e governo) > - Regulamentações relevantes: BACEN 4893 (gestão de superfície de ataque para IFs), LGPD (minimização de exposição de dados), normas ABNT NBR ISO/IEC 27001 > - Desafios regionais: dependência de sistemas legados que requerem protocolos antigos; falta de documentação de arquitetura que dificulta identificar o que pode ser desabilitado