# M1051 — Updaté Software ## Visão Geral *Fonte: [MITRE ATT&CK — M1051](https://attack.mitre.org/mitigations/M1051)* ## Descrição As atualizações de software garantem que os sistemas estejam protegidos contra vulnerabilidades conhecidas, aplicando patches e upgrades fornecidos pelos fabricantes. Atualizações regulares reduzem a superfície de ataque e impedem que adversários explorem lacunas de segurança conhecidas. Isso inclui a aplicação de patches em sistemas operacionais, aplicações, drivers e firmware. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["🔍 Scan de Vulnerabilidades<br/>OpenVAS / Nessus / Qualys"] --> B["📋 Priorização<br/>CVSS + EPSS + CISA KEV"] B --> C["🧪 Teste em Staging<br/>Validar patch antes de produção"] C --> D["🚀 Deploy<br/>WSUS / SCCM / Ansible"] D --> E["✅ Verificação<br/>Confirmar patch aplicado"] E --> F["📊 Compliance Report<br/>SLA de patching + métricas"] ``` Atualizações Regulares do Sistema Operacional - Implementação: Aplique as atualizações de segurança mais recentes do Windows mensalmente usando o WSUS (Windows Server Update Services) ou uma solução similar de gerenciamento de patches. Configure os sistemas para verificar atualizações automaticamente e agende reinicializações durante janelas de manutenção. - Caso de uso: Previne a exploração de vulnerabilidades do SO, como escalonamento de privilégios ou execução remota de código. Aplicação de Patches em Aplicações - Implementação: Monitore as notas de lançamento de atualização do Apache para patches de segurança que tratam vulnerabilidades. Agende atualizações em horários de baixo uso para evitar indisponibilidade enquanto mantém a conformidade de segurança. - Caso de uso: Previne a exploração de vulnerabilidades de aplicações web, como aquelas que levam a acesso não autorizado ou vazamento de dados. Atualizações de Firmware - Implementação: Verifique regularmente o site do fabricante para atualizações de firmware que tratam vulnerabilidades. Planeje o deploy das atualizações durante manutenções programadas para minimizar a interrupção dos negócios. - Caso de uso: Protege contra vulnerabilidades que adversários poderiam explorar para obter acesso a dispositivos de rede ou injetar tráfego malicioso. Deploy de Patch de Emergência - Implementação: Use o recurso de deploy de patch de emergência da ferramenta de gerenciamento de patches da organização para aplicar atualizações em todos os servidores Exchange afetados em 24 horas. - Caso de uso: Reduz o risco de exploração ao tratar rapidamente vulnerabilidades críticas. Gerenciamento Centralizado de Patches - Implementação: Implemente um sistema centralizado de gerenciamento de patches, como SCCM ou ManageEngine, para automatizar e rastrear o deploy de patches em todos os ambientes. Gere relatórios regulares de conformidade para garantir que todos os sistemas estejam atualizados. - Caso de uso: Simplifica os processos de patching e garante que nenhum sistema crítico seja negligenciado. *Ferramentas para Implementação* Ferramentas de Gerenciamento de Patches: - WSUS: Gerencia e implanta atualizações Microsoft em toda a organização. - ManageEngine Patch Manager Plus: Automatiza o deploy de patches para SO e aplicações de terceiros. - Ansible: Automatiza atualizações em múltiplas plataformas, incluindo Linux e Windows. Ferramentas de Vulnerability Scanning: - OpenVAS: Vulnerability scanning open-source para identificar patches ausentes. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1550.002 | [[t1550-002-pass-the-hash\|T1550.002 — Pass the Hash]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1176.002 | [[t1176-002-ide-extensions\|T1176.002 — IDE Extensions]] | | T1548.002 | [[t1548-002-bypass-user-account-control\|T1548.002 — Bypass User Account Control]] | | T1602.001 | [[t1602-001-snmp-mib-dump\|T1602.001 — SNMP (MIB Dump)]] | | T1068 | [[t1068-exploitation-for-privilege-escalation\|T1068 — Exploitation for Privilege Escalation]] | | T1555.005 | [[t1555-005-password-managers\|T1555.005 — Password Managers]] | | T1495 | [[t1495-firmware-corruption\|T1495 — Firmware Corruption]] | | T1110.001 | [[t1110-001-password-guessing\|T1110.001 — Password Guessing]] | | T1555 | [[t1555-credentials-from-password-stores\|T1555 — Credentials from Password Stores]] | | T1611 | [[t1611-escape-to-host\|T1611 — Escape to Host]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | | T1137.004 | [[t1137-004-outlook-home-page\|T1137.004 — Outlook Home Page]] | | T1542 | [[t1542-pre-os-boot\|T1542 — Pre-OS Boot]] | | T1542.001 | [[t1542-001-system-firmware\|T1542.001 — System Firmware]] | | T1212 | [[t1212-exploitation-for-credential-access\|T1212 — Exploitation for Credential Access]] | | T1602 | [[t1602-data-from-configuration-repository\|T1602 — Data from Configuration Repository]] | | T1189 | [[t1189-drive-by-compromise\|T1189 — Drive-by Compromise]] | | T1548 | [[t1548-abuse-elevation-control-mechanism\|T1548 — Abuse Elevation Control Mechanism]] | | T1211 | [[t1211-exploitation-for-defense-evasion\|T1211 — Exploitation for Defense Evasion]] | | T1574 | [[t1574-hijack-execution-flow\|T1574 — Hijack Execution Flow]] | | T1176.001 | [[t1176-001-browser-extensions\|T1176.001 — Browser Extensions]] | | T1137 | [[t1137-office-application-startup\|T1137 — Office Application Startup]] | | T1195.001 | [[t1195-001-compromise-software-dependencies-and-development-tools\|T1195.001 — Compromise Software Dependencies and Development Tools]] | | T1552.006 | [[t1552-006-group-policy-preferences\|T1552.006 — Group Policy Preferences]] | | T1137.005 | [[t1137-005-outlook-rules\|T1137.005 — Outlook Rules]] | | T1195 | [[t1195-supply-chain-compromise\|T1195 — Supply Chain Compromise]] | | T1539 | [[t1539-steal-web-session-cookie\|T1539 — Steal Web Session Cookie]] | | T1555.003 | [[t1555-003-credentials-from-web-browsers\|T1555.003 — Credentials from Web Browsers]] | | T1602.002 | [[t1602-002-network-device-configuration-dump\|T1602.002 — Network Device Configuration Dump]] | | T1546.010 | [[t1546-010-appinit-dlls\|T1546.010 — AppInit DLLs]] | | T1574.001 | [[t1574-001-dll\|T1574.001 — DLL]] | | T1176 | [[t1176-software-extensions\|T1176 — Software Extensions]] | | T1203 | [[t1203-exploitation-for-client-execution\|T1203 — Exploitation for Client Execution]] | | T1542.002 | [[t1542-002-component-firmware\|T1542.002 — Component Firmware]] | | T1137.003 | [[t1137-003-outlook-forms\|T1137.003 — Outlook Forms]] | | T1190 | [[t1190-exploit-public-facing-application\|T1190 — Exploit Public-Facing Application]] | | T1195.002 | [[t1195-002-compromise-software-supply-chain\|T1195.002 — Compromise Software Supply Chain]] | | T1210 | [[t1210-exploitation-of-remote-services\|T1210 — Exploitation of Remote Services]] | | T1546.011 | [[t1546-011-application-shimming\|T1546.011 — Application Shimming]] | | T1546 | [[t1546-event-triggered-execution\|T1546 — Event Triggered Execution]] | | T1562.013 | [[t1562-013-disable-or-modify-network-device-firewall\|T1562.013 — Disable or Modify Network Device Firewall]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A gestão de patches é um dos controles mais críticos e mais negligenciados no Brasil. Vulnerabilidades com patches disponíveis há meses continuam sendo exploradas ativamente em organizações brasileiras — o ataque a sistemas de saúde e governo via CVEs do Exchange e Fortinet são exemplos recorrentes. O setor financeiro brasileiro tem SLAs formais de patching por exigência regulatória, mas PMEs e governo estadual/municipal frequentemente operam com sistemas desatualizados por anos. A pressão de janelas de manutenção curtas em ambientes 24/7 (energia, saúde) agrava o problema. > - Adoção em SOCs brasileiros: alto (bancos e grandes corporações) / baixo (PMEs, hospitais, governo) > - Regulamentações relevantes: BACEN 4893 (SLA de patches para IFs), LGPD (manutenção de segurança de sistemas que processam dados pessoais), ANPD orientações de segurança > - Desafios regionais: janelas de manutenção limitadas em operações críticas, dependência de fornecedores locais para suporte de sistemas legados, custo de licenciamento para atualização de sistemas Windows desatualizados