Microsoft revela falhas em sistemas usados por dispositivos IoT e OT

Pesquisadores da Microsoft descobriram vulnerabilidades em sistemas operacionais usados por dispositivos IoT e OT em ambientes comercial, médico e industrial. O grupo Azure Defender for IoT do Microsoft Security Response Center revelou que tais falhas críticas de alocação de memória, batizadas de  BadAlloc, permitem contornar controles de segurança com a finalidade de executar código mal-intencionado ou provocar panes nos sistemas.

As vulnerabilidades estão presentes em funções de alocação de memória abrangendo desde sistemas operacionais em tempo real (Real-Time Operating Systems – RTOS) kits de desenvolvimento de software (Software Development Kits – SDKs) e bibliotecas da liguagm C (libc).

A própria Microsoft reconhece que instalar patches em dispositivos IoT/OT pode ser complexo, então recomenda tentar reduzir a superfície de ataque, minimizando a exposição dos dispositivos vulneráveis na Internet, monitorar as redes em busca de indicadores de comportamentos estranhos e fortalecer o processo de segmentação das redes para proteger ativos críticos.

Até onde se sabe, as vulnerabilidades não foram detectadas à solta, mas oferecem aos invasores em potencial uma ampla área de superfície para causar danos. A lista completa dos produtos afetados está disponível no site do Departamento de Segurança Interna dos Estados Unidos.

Alguns especialistas destacam que a taxa de adoção desenfreada de dispositivos IoT não é necessariamente uma notícia boa, visto que a segurança pode ter sido deixada de lado, abrindo brechas para ataques a dispositivos e redes completas. Uma pesquisa recente da Tripwire, especializada em segurança de TI e automação de compliance, revelou que 99% dos entrevistados afirmaram ter dificuldades consideráveis ao tentar proteger dispositivos IoT e IIoT (Internet das Coisas Industrial). Dois terços também disseram que enfrentam problemas para identificar e corrigir vulnerabilidades. Não é de surpreender que 53% se mostraram preocupados com os riscos de segurança.

Pensando em ajudar desenvolvedores, fabricantes, empresas e consumidores a promover a segurança de sistemas IoT, o OWASP (Open Web Application Security Project), fundação sem fins lucrativos que trabalha em prol da segurança do software, mantém uma lista com as 10 principais condutas a serem evitadas quando se trata da Internet das Coisas.

A verdade é que há uma grande disparidade entre a frequência com que se atualiza o firmware dos dispositivos IoT e a velocidade com que surgem vulnerabilidades em seus componentes críticos. Quem vai liderar essa corrida nos próximos anos?