10. O uso de Hot Patching para o bem e para o mal

[BLOG] Série Especial “Entendendo os Ataques Cibernéticos”

Introdução

Se você tiver um pouco mais de 40 anos vai se lembrar como era desagradável e demorado ter que reiniciar o Windows toda vez que atualizava uma aplicação.  O “hot patching”, também conhecido como “live patching”, é uma tecnologia que permite aplicar correções de segurança em sistemas em execução sem a necessidade de reinicialização. Trata-se de um recurso fundamental para ambientes críticos, onde o tempo de inatividade pode resultar em perdas financeiras, interrupções de serviços essenciais ou falhas em operações de missão crítica. O hot patching, por si só, não é um problema de segurança, mas sim uma “feature”. Entretanto, ele tem sido usado frequentemente para ações maliciosas.

Neste artigo, exploramos como o hot patching funciona, seus benefícios, os riscos e desafios que ele apresenta, além de destacar algumas das implementações mais relevantes em sistemas operacionais modernos, como Windows e Linux. Adicionalmente, examinamos o paradoxo de cibersegurança que emerge quando mecanismos de atualização se tornam vetores de ataques à cadeia de suprimentos, ilustrando essa ameaça com casos reais devastadores como NotPetya e SolarWinds, que demonstram como a confiança depositada em processos de atualização automática pode ser explorada por adversários sofisticados.

Como o Hot patching Funciona

O hot patching atua diretamente no código em execução na memória. A forma mais comum de implementação é por meio do redirecionamento de chamadas de função. Nesse caso, o início de uma função vulnerável é sobrescrito com um salto (jump) que aponta para a versão corrigida. Assim, sempre que a função for chamada, o sistema passa a executar a versão segura.

Outra abordagem consiste em modificar o próprio código da função na memória. Embora mais arriscada e complexa, essa técnica pode ser necessária em cenários específicos onde o redirecionamento não é viável.

Benefícios do Hot Patching

O hot patching traz ganhos significativos tanto para a segurança quanto para a disponibilidade:

• Maior tempo de atividade: essencial para sistemas que precisam operar 24×7, permitindo aplicar patches sem interromper serviços.
• Segurança aprimorada: possibilita correções imediatas após a divulgação de vulnerabilidades, reduzindo a janela de exposição a ataques.
• Implantação mais ágil: pacotes de hot patch tendem a ser menores e menos intrusivos do que atualizações tradicionais, acelerando o processo de correção.

Riscos e Desafios do Hot Patching

Apesar de seus benefícios, o hot patching apresenta limitações e pontos de atenção:

• Complexidade: requer conhecimento profundo do sistema e da aplicação. Um patch mal implementado pode causar instabilidade.
• Estabilidade: hot patches precisam de testes rigorosos para evitar a introdução de novos erros ou conflitos com funcionalidades existentes.
• Compatibilidade: nem todas as correções podem ser aplicadas dessa forma; algumas exigem mudanças profundas no kernel ou em bibliotecas críticas.

Implementações de Hot Patching

A tecnologia já está consolidada em sistemas modernos, com diferentes soluções disponíveis:

• Windows Server Hotpatching: introduzido no Windows Server 2025, elimina reinicializações após a aplicação de muitos patches de segurança.
• Linux Kernel Live patching: soluções como o Canonical Livepatch e o Oracle Ksplice permitem corrigir falhas no kernel sem reinicializar o sistema.
• Ferramentas de Terceiros: diversas empresas oferecem serviços de hot patching para aplicações específicas, ampliando o alcance dessa abordagem.

O Hot Patching usado para o bem

Para ilustrar o impacto do hot patching, vale destacar alguns exemplos concretos onde vulnerabilidades conhecidas (CVE) foram tratadas por meio de técnicas de live patching:

• CVE‑2025‑39730: Vulnerabilidade no subsistema NFS do kernel Linux corrigida via pacote kernel-livepatch no Amazon Linux, sem necessidade de reinicialização.
• CVE‑2025‑37890: Bug de uso-after-free no net_sched, relacionado ao pacote kernel-livepatch do SUSE, mostrando que até os mecanismos de live patching podem conter vulnerabilidades.
• CVE‑2024‑53042 / CVE‑2024‑53156: Corrigidos em atualização de live patching do SUSE para o kernel 6.4, demonstrando a aplicação prática do modelo sem reinício.
• CVE‑2021‑44228: A AWS disponibilizou um hot patch que injeta em tempo de execução um agente para mitigar a vulnerabilidade crítica do Log4j sem reiniciar a aplicação.

Esses casos reforçam dois pontos centrais: a eficácia do hot patching em reduzir a janela de exposição a ataques e a importância de monitorar continuamente tanto a aplicação das correções quanto a própria segurança das soluções de live patching.

O hot patching e ataques à cadeia de suprimentos

A relação entre hot patching e ataques à cadeia de suprimentos é paradoxal, transformando uma ferramenta de defesa em um potencial vetor de ameaças. Por um lado, a aplicação de patches em tempo real é crucial para mitigar vulnerabilidades em ecossistemas de software complexos, que dependem de múltiplos fornecedores e bibliotecas de código aberto. No entanto, os próprios mecanismos de atualização, que viabilizam o hot patching, tornaram-se alvos primários para ataques à cadeia de suprimentos.

Atores maliciosos, como o grupo StormBamboo, demonstraram a capacidade de comprometer a infraestrutura de um provedor de internet (ISP) para realizar ataques de envenenamento de DNS. Essa técnica redireciona as solicitações de atualização de software para servidores controlados por atacantes, permitindo a distribuição de malware em vez de correções legítimas. Dessa forma, a confiança depositada no processo de atualização automática é explorada, e a ferramenta projetada para proteger o sistema se torna a porta de entrada para o comprometimento.

O risco se aprofunda quando consideramos que a própria infraestrutura de hot patching pode conter falhas de segurança, introduzindo uma nova camada de vulnerabilidade na cadeia de suprimentos. A descoberta de que a solução de hot patch da AWS para a vulnerabilidade Log4Shell era suscetível a escalonamento de privilégios e escape de contêineres (rastreada por CVEs como CVE-2022-0070) ilustra esse perigo. Nesse cenário, um atacante poderia explorar uma falha no próprio agente de patching para obter controle total sobre o host, abusando da confiança e dos privilégios concedidos à ferramenta de segurança. Isso significa que mesmo um patch legítimo, entregue por um canal seguro, pode ser aplicado por um mecanismo vulnerável, criando uma oportunidade para a exploração. Consequentemente, a segurança da cadeia de suprimentos de software não depende apenas da validação dos patches, mas também de uma verificação rigorosa da integridade e da segurança de toda a infraestrutura de entrega e aplicação de atualizações, incluindo os próprios sistemas de hot patching.

Casos Reais de Quando Mecanismos de Atualização se Tornam Armas

A história recente da cibersegurança está repleta de exemplos devastadores que ilustram como mecanismos de atualização comprometidos podem causar danos em escala global. O ataque NotPetya, ocorrido em junho de 2017, representa um dos casos mais emblemáticos dessa ameaça. Atores maliciosos, posteriormente atribuídos à Rússia, comprometeram o software de contabilidade ucraniano M.E.Doc ao roubar credenciais de administrador e obter privilégios root nos servidores da empresa. Os atacantes modificaram o arquivo de configuração do servidor web NGINX para que qualquer tráfego destinado ao servidor de atualização legítimo (upd.me-doc.com.ua) fosse redirecionado através de um proxy para um host controlado pelos invasores. Durante um período de aproximadamente três horas, entre 9:11 e 12:31 UTC do dia 27 de junho, o malware destrutivo em forma de ransomware foi distribuído através das atualizações legítimas do M.E.Doc. O resultado foi catastrófico: mais de 80 empresas globalmente foram afetadas, incluindo gigantes como Maersk, FedEx e Merck, com perdas estimadas em US$ 10 bilhões, tornando-o o ataque cibernético mais devastador da história moderna.

De forma igualmente preocupante, o ataque ao SolarWinds Orion em 2020 demonstrou como a sofisticação e a paciência dos atacantes podem resultar em comprometimentos de longo prazo e amplo alcance. O grupo APT29 (também conhecido como UNC2452) conseguiu trojanizar as atualizações do software SolarWinds Orion, inserindo o backdoor SUNBURST no componente legítimo SolarWinds.Orion.Core.BusinessLayer.dll. O arquivo de atualização malicioso era um Windows Installer Patch padrão, assinado digitalmente pela própria SolarWinds, o que permitiu que passasse despercebido por ferramentas de segurança. Após um período de dormência de até duas semanas, o malware se comunicava com servidores de comando e controle, mascarando seu tráfego como comunicações normais da API SolarWinds. Mais de 18.000 clientes instalaram a atualização comprometida, e os atacantes selecionaram alvos específicos de alto valor, incluindo agências governamentais dos Estados Unidos e empresas de tecnologia. O ataque permaneceu não detectado por meses, demonstrando que mesmo organizações com recursos significativos de segurança podem ser vítimas quando a cadeia de suprimentos de software é comprometida na fonte. Ambos os casos ressaltam uma verdade inquietante: a confiança inerente aos mecanismos de atualização automática, essencial para a eficácia do hot patching, é precisamente o que os torna alvos tão valiosos e perigosos para adversários sofisticados.

Conclusão

O hot patching é uma tecnologia estratégica que equilibra segurança e disponibilidade. Ele reduz a superfície de ataque ao permitir correções imediatas e mantém a continuidade de serviços críticos. Embora apresente desafios técnicos e riscos de compatibilidade, sua evolução constante indica que, no futuro, será cada vez mais adotado como parte das práticas essenciais de segurança cibernética em grandes organizações.

Como a [CYLO] pode ajudar

A aplicação de patches de segurança em tempo real é apenas uma parte de uma estratégia de defesa eficaz. Na prática, é fundamental contar com visibilidade contínua sobre o estado dos sistemas e a capacidade de detectar anomalias que indiquem exploração de vulnerabilidades ainda não corrigidas.

O SOC da [CYLO], apoiado pelo Palo Alto Cortex XSIAM e por analistas certificados, atua justamente nesse ponto:

• Monitorando a aplicação de patches e identificando sistemas que permanecem expostos.
• Detectando tentativas de exploração de vulnerabilidades conhecidas antes e depois da aplicação dos hot patches.
• Correlacionando indicadores de comprometimento (IoCs) com inteligência de ameaças para reduzir a janela de risco.
  
  Assim, mesmo em ambientes que utilizam hot patching, a [CYLO] garante uma camada adicional de segurança, unindo resposta rápida, visibilidade avançada e análise proativa para fortalecer a defesa contra os ataques cibernéticos.

Referências

[1] Microsoft. (2025). Tired of all the restarts? Get hotpatching for Windows Server. Disponível em: https://www.microsoft.com/en-us/windows-server/blog/2025/04/24/tired-of-all-the-restarts-get-hotpatching-for-windows-server/

[2] Red Hat. (n.d.). What is Linux kernel live patching ? Disponível em: https://www.redhat.com/en/topics/linux/what-is-linux-kernel-live-patching

[3] Amazon Linux Security Center. (2025). ALAS2LIVEPATCH-2025-269 – CVE-2025-39730. Disponível em: https://alas.aws.amazon.com/AL2/ALAS2LIVEPATCH-2025-269.html

[4] SUSE Security Update. (2025). SUSE-SU-2025:01675-1 – Linux Kernel Live Patch Updates. Disponível em: https://www.suse.com/support/update/announcement/2025/suse-su-202501675-1/

[5] Amazon Web Services. (2021). Hotpatch for Apache Log4j. Disponível em: https://aws.amazon.com/blogs/opensource/hotpatch-for-apache-log4j/

[6] CISA – Cybersecurity and Infrastructure Security Agency. (2018 ). Petya Ransomware. Disponível em: https://www.cisa.gov/news-events/alerts/2017/07/01/petya-ransomware

[7] Cisco Talos Intelligence. (2017). The MeDoc Connection. Disponível em: https://blog.talosintelligence.com/the-medoc-connection/

[8] TechTarget. (2023 ). SolarWinds hack explained: Everything you need to know. Disponível em: https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know