Vulnerabilidade em servidores web Windows

Atualização em 19/11/14: O fix MS14-066 que é relativo ao problema do Schannel vinha ocasionado problemas em algumas situações. A Microsoft disponibilizou uma nova versão que deve ser reaplicada nos servidores, e além disso, liberou o MS14-068 que é uma atualização out-of-band para vulnerabilidade crítica que vinha sendo utilizada ativamente, ou seja, ataque do tipo zero-day.

A Microsoft liberou em novembro correções para 16 vulnerabilidades, sendo 5 delas classificadas como críticas. É o maior pacote de atualizações do ano, e uma em especial requer atenção imediata, afetando servidores web.

É a do boletim MS14-066, e afeta tanto servidores como desktops. A vulnerabilidade no Microsoft Security Channel (sChannel) pode ser explorada em servidores web para execução de código remoto, o que coloca em risco sites que rodem sobre o IIS. De acordo com o boletim, a Microsoft não identificou fatores mitigantes nem soluções de contorno, ou seja, a única proteção é a aplicação do fix.

Como o site Arstechnica lembra, o bug potencialmente catastrófico no Windows marca o fato de que todas as principais plataformas de TLS (Transport Layer Security, responsável pela criptografia) em uso apresentaram algum tipo de vulnerabilidade grave neste ano, incluindo sistemas Linux e Apple.

Uma boa hora para revisar como está o processo de gestão de atualizações da empresa e os riscos que possam afetar o seu negócio.