.
Recurso Este mês, há vinte anos, a Microsoft fez algo bastante revolucionário na época em que formalizou o cronograma de lançamento do software Windows.
Então, em vez de enviar atualizações sempre que estavam prontas – Redmond diz que isso normalmente acontecia às quartas-feiras, enquanto a maioria dos clientes lembra que era no final da tarde de sexta-feira – a Microsoft começou a enviar correções de software na segunda terça-feira de cada mês, começando em Outubro de 2003.
A Microsoft está corrigindo coisas no Linux agora, o que era completamente inédito em 2008
E assim, Patch Tuesday surgiu.
Os tempos anteriores eram “muito caóticos para os administradores de sistemas, especialmente quando se tratava de planejamento de recursos”, lembra Dustin Childs, chefe de conscientização sobre ameaças da Zero Day Initiative da Trend Micro. Anteriormente, ele passou quase sete anos em segurança na Microsoft, começando em janeiro de 2008.
Childs descreveu os primeiros anos do Patch Tuesday na Microsoft como uma espécie de festa, completa com café da manhã e música.
“Apertamos o botão de liberação e tudo foi ao vivo e tocávamos música no corredor do nosso escritório”, disse Childs Strong The One. “Foi muito importante para nós saber que estávamos consertando as coisas, tornando o mundo um pouco melhor. Um patch de cada vez.”
Os funcionários da Microsoft não foram os únicos que acolheram bem a mudança.
Aqueles foram os primeiros dias da Internet e “ninguém era realmente disciplinado em relação aos patches”, diz Tim Crothers, diretor de segurança da informação da Mandiant no Google Cloud. “Foi realmente caótico.”
Os tempos anteriores
Crothers começou sua carreira em 1984, primeiro no lado da infraestrutura e depois na segurança nas últimas três décadas, então ele viu o Patch Tuesday de ambos os lados. Ele é o cara de TI responsável por testar e implantar os patches e também o pesquisador de segurança que trabalha para fazer engenharia reversa das correções assim que elas são lançadas.
Crothers lembra que a campanha da segunda terça-feira foi em grande parte motivada pelo cliente.
“Certamente, muitas grandes instituições financeiras e imagino que muitas outras organizações fizeram parte da pressão exercida sobre a Microsoft para liberá-lo como uma instância, uma única vez, para que possamos planejá-lo, adotar uma abordagem mais comedida e reduzir muito do caos que existia antes do Patch Tuesday ser uma coisa”, diz ele Strong The One.
Ou, como nos disse Aanchal Gupta, um cliente de Redmond na época que agora é CISO adjunto da Microsoft e vice-presidente corporativo: “Recebemos alguns comentários. E com base nesse feedback dissemos: ‘Precisamos simplificar isso. Precisamos trazer Para isso, se quisermos que os clientes participem conosco na segurança de todo o ecossistema.’”
Se a Microsoft emitir patches, mas os clientes não aplicarem as correções, “será muito mais difícil proteger os serviços”, explica Gupta.
“Então foi aí que nasceu o Patch Tuesday”, diz ela. Depois que a Microsoft mudou para essa cadência mensal, “o consumo de patches aumentou significativamente”.
Previsibilidade para administradores de TI…
Ao que tudo indica, a mudança foi bem recebida pelos administradores de TI porque lhes deu previsibilidade.
“O processo de gerenciamento de patches naquela época também era completamente inexistente, o que tornou tudo muito mais difícil”, disse Childs. Strong The One. “Foi um momento muito difícil para os administradores de sistema antes do Patch Tuesday planejar, testar e adicionar recursos para implementar esses patches.”
Além disso, nos primeiros dias do Patch Tuesday, a Microsoft forneceu notificação antecipada aos clientes. Portanto, antes de começarem os fins de semana, os administradores sabiam que, na terça-feira seguinte, seriam lançados patches que corrigiriam cerca de uma dúzia de CVEs.
E não, isso não é um erro de digitação. O volume de patches emitidos a cada mês explodiu nas últimas duas décadas. A “regra não escrita” costumava ser de não mais do que 12 boletins de segurança por mês, com base no que a Microsoft e seus clientes podiam administrar, diz Childs.
Hoje em dia, com a migração para a nuvem e a superfície de ataque em constante expansão, Mais de 100 correções de segurança por mês é comum. “A quantidade de coisas que a Microsoft está corrigindo – a Microsoft está corrigindo coisas no Linux agora, o que era completamente inédito em 2008”, diz Childs.
“Atualmente, o gerenciamento de patches é um processo contínuo”, continua Childs, acrescentando que programas como Exchange e SharePoint podem ser difíceis de corrigir.
“Nós brincamos que a maneira mais rápida de ser demitido como administrador de sistema é quebrar o email, e a maneira mais rápida de quebrar o email é corrigir o Exchange”, diz ele.
É difícil nos ambientes de TI atuais identificar primeiro tudo o que precisa ser atualizado e, então, as empresas ainda precisam testar a maioria dos patches antes de implementá-los em toda a organização.
“Então eles têm que implantar os patches em um momento que não seja inconveniente – mas nunca há um momento que não seja inconveniente, de acordo com os usuários”, diz Childs.
Além disso, os boletins mensais de segurança não vêm mais apenas da Microsoft. Outros fornecedores, incluindo Oracle e Adobe, aderiram ao movimento do Patch Tuesday em 2003. Logo a SAP, junto com quase todos os outros fabricantes de software, seguiram o exemplo.
Até mesmo fornecedores de hardware aderiram, e não é incomum que eles também lancem patches no mesmo dia que a Microsoft. “Agora, temos parcerias estreitas com a AMD e a Intel”, diz Gupta. “Vamos alinhar esses patches de vulnerabilidade para ter certeza de que estamos fazendo isso juntos.”
A visão cínica aqui seria que talvez os fornecedores estejam divulgando bugs e lançando correções para eles no mesmo dia, na esperança de que os realmente ruins possam ser enterrados sob a avalanche de CVEs que serão lançados na Patch Tuesday.
Embora provavelmente haja alguma verdade nisso, como enterrar más notícias no final de uma sexta-feira, no geral, os benefícios de um cronograma mensal de divulgação de bugs superam os ruins – como o grande número de patches – de acordo com as pessoas entrevistadas para esta história.
Mesmo que os clientes não solicitem explicitamente essa cadência de patch, “eles entendem”, diz Childs. “É mais estabilidade”, explica ele. “Mais coisas que eles podem prever. Mesmo que [the amount of Patch Tuesday updates] é completamente esmagador.”
Apesar da enxurrada de boletins de segurança da segunda-feira, durante os últimos 20 anos, a qualidade dos patches melhorou. O mesmo aconteceu com as ferramentas de software e os sistemas automatizados usados para distribuir e aplicar os patches, o que significa menos tempo de inatividade para os sistemas – e interrupções para os usuários. “Isso significa que a aceitação cresceu ao longo dos anos”, diz Crothers.
E para os atacantes
“Claro, isso não significa que sejam tudo rosas”, acrescenta. “A desvantagem da abordagem Patch Tuesday é que os atores da ameaça estão cientes do patch. Estamos em uma situação de corrida entre o patch que está sendo implantado para proteger nossas organizações e os invasores que os exploram.”
Não haveria Explorar quarta-feira sem o Patch Tuesday, e ao longo dos anos os defensores não são os únicos aguardando ansiosamente o último lote mensal de divulgações de CVE. Assim que as atualizações de segurança são lançadas, tanto os pesquisadores legítimos quanto os criminosos começam a trabalhar tentando fazer engenharia reversa das correções e, no lado malvado da equação, começam a procurar sistemas ainda vulneráveis.
“Sim, eles podem fazer isso”, admite Gupta. Mas, acrescenta ela, assim que um pesquisador detecta um bug e o reporta à Microsoft, Redmond “imediatamente implementa controles de mitigação”.
E se a vulnerabilidade já tiver sido explorada, “então faremos coisas realmente únicas, como fizemos com o ataque Hafnium”, diz Gupta, referindo-se ao Espiões cibernéticos chineses que invadiu servidores Microsoft Exchange vulneráveis em 2021 e roubou dados de dezenas de milhares de organizações nos EUA e no Reino Unido.
Neste caso, Redmond emite patches para versões mais antigas e sem suporte porque os clientes não conseguiram atualizar para uma versão fixa com rapidez suficiente. A Microsoft também construiu uma “ferramenta de mitigação de um clique” para clientes de e-mail afetados e, essencialmente, disse a eles: “mesmo que você não consiga corrigir, basta executar o script no seu Exchange Server e você estará protegido contra esta vulnerabilidade imediatamente”, diz Gupta.
Patch Tuesday “é definitivamente um dia de grandes emoções”, diz Bharat Jogi, diretor sênior de vulnerabilidade a ameaças da Qualys. Ele vem realizando eventos mensais de correção nos últimos 15 anos e diz que assim que a Microsoft lançar suas atualizações, sua empresa e outros fornecedores de segurança desejam liberar verificações para seus produtos dentro de 24 horas.
Melhorando o relacionamento com pesquisadores de segurança
Além disso, empresas como a Qualys, que contam com uma equipe de pesquisadores, também trabalham tentando encontrar falhas nos patches e procurando outras vulnerabilidades semelhantes.
“Assim que os patches são lançados, eles tentam separá-los e tentar entender o que foi potencialmente corrigido, quão bom pode ser, e então começam a desenvolver explorações para isso”, disse Jogi. Strong The One.
Isso aponta para outra consequência potencialmente não intencional do Patch Tuesday: ao longo dos anos, melhorou o relacionamento entre pesquisadores de segurança e fornecedores de software, que, no início dos anos 2000, era no mínimo controverso.
“A Microsoft ficou muito boa em dar crédito aos pesquisadores de segurança que divulgam as vulnerabilidades”, diz Crothers. “Os pesquisadores de segurança querem ser reconhecidos por seu trabalho para o aprimoramento de suas carreiras. No início, não apenas a Microsoft, mas muitos fornecedores de software consideravam os pesquisadores de segurança como criadores de mais danos do que benefícios.”
Esta visão mudou em grande parte e a divulgação responsável tornou-se uma norma da indústria.
“O Patch Tuesday e todo o trabalho associado em torno disso certamente foram fundamentais para isso, na minha opinião”, diz Crothers.
Além disso, dá aos caçadores de bugs mais ideias sobre onde tentar encontrar falhas no software.
“Quando você corrige algo, você destaca isso – especialmente para componentes com os quais as pessoas não estão familiarizadas”, diz Childs.
Como a manhã de Natal, 20 anos em construção
Childs trabalha em todas as Patch Tuesday desde 2008, tanto no lado da Microsoft quanto como pesquisador. Ele só perdeu dois eventos mensais de correção, um para o júri federal e outro para o casamento de sua irmã. “Nenhum deles quis mudar as datas”, diz ele.
E ele ainda está animado com o Patch Tuesday. Em uma escala de zero a dez, sendo dez uma criança no dia de Natal, Childs diz que geralmente é oito ou nove, dependendo das vulnerabilidades reveladas. Mas mesmo em um mês chato, ele se avalia como “acima de cinco”.
“Fico animado para ver o que está sendo corrigido, quais são os bugs”, diz Childs. “Quero ver quem está pesquisando o quê e o que há de melhor e mais recente. Se eu fosse um administrador de sistema, provavelmente teria uma opinião muito diferente sobre isso.”
E mesmo que o Patch Tuesday avise os bandidos sobre bugs a serem explorados, o consenso geral parece ser que ele torna o software – e as pessoas – mais seguros.
“Por mais que eu tenha zombado da Microsoft ao longo dos anos, tenho que dar crédito a quem merece”, diz Crothers. “Eles claramente levam isso a sério.”
Vinte anos depois, o Patch Tuesday tornou-se “uma daquelas coisas que é dada como certa, pelo menos nas grandes empresas”, continuou ele. “É fácil esquecer o quão acidentada era aquela estrada e o número de buracos naquela estrada no caminho até onde estamos hoje. Foi certamente tumultuado, para dizer o mínimo.” ®
.
