Patch Madness: تنبيهات أخطاء البائع معطلة ، لذلك تم كسر ذكاء بيانات PlatoBlockchain. البحث العمودي. عاي.

جنون التصحيح: تنبيهات أخطاء البائع معطلة ، لذا تعطلت

الطابع الزمني: 12 أغسطس 2022 الساعة 4:18 مساءً

BLACK HAT USA - لاس فيجاس - تعتبر مواكبة تصحيح الثغرات الأمنية أمرًا صعبًا في أحسن الأحوال ، ولكن تحديد أولويات الأخطاء التي يجب التركيز عليها أصبح أكثر صعوبة من أي وقت مضى ، وذلك بفضل عدم وجود سياق لدرجات CVSS ، وإرشادات البائع الموحلة ، والإصلاحات غير المكتملة التي يترك للمشرفين شعورًا زائفًا بالأمان.

هذه هي الحجة التي قالها كل من Brian Gorenc و Dustin Childs ، وكلاهما مع مبادرة Zero Day Initiative (ZDI) من Trend Micro ، من مسرح Black Hat USA خلال جلستهما ، "حساب المخاطر في عصر الغموض: القراءة بين سطور الإرشادات الأمنية".

كشفت ZDI عن أكثر من 10,000 نقطة ضعف للبائعين في جميع أنحاء الصناعة منذ عام 2005. على مدار ذلك الوقت ، قال مدير اتصالات ZDI Childs أنه لاحظ اتجاهًا مزعجًا ، وهو انخفاض في جودة التصحيح وتقليل الاتصالات المحيطة بتحديثات الأمان.

وأشار إلى أن "المشكلة الحقيقية تنشأ عندما يقوم البائعون بإصدار تصحيحات معيبة ، أو معلومات غير دقيقة وغير كاملة حول تلك التصحيحات التي يمكن أن تتسبب في سوء تقدير الشركات لمخاطرها". "يمكن أن تكون التصحيحات المعيبة أيضًا نعمة لاستغلال الكتاب ، حيث إن استخدام" الأيام n "أسهل بكثير من استخدام" أيام الصفر ".

مشكلة درجات CVSS وأولوية الترقيع

تعاني معظم فرق الأمن السيبراني من نقص في الموظفين وتحت الضغط ، ولا يكون شعار "الحفاظ دائمًا على تحديث جميع إصدارات البرامج" منطقيًا بالنسبة للإدارات التي لا تمتلك الموارد اللازمة لتغطية الواجهة البحرية. هذا هو السبب في أن إعطاء الأولوية للتصحيحات التي سيتم تطبيقها وفقًا لتصنيف الخطورة في مقياس خطورة الثغرات الأمنية المشتركة (CVSS) أصبح احتياطيًا للعديد من المسؤولين.

لاحظ تشايلدز ، مع ذلك ، أن هذا النهج معيب للغاية ، ويمكن أن يؤدي إلى إنفاق الموارد على الأخطاء التي من غير المرجح أن يتم استغلالها على الإطلاق. هذا بسبب وجود مجموعة كبيرة من المعلومات الهامة التي لا توفرها نتيجة CVSS.

قال: "في كثير من الأحيان ، لا تنظر الشركات إلى أبعد من جوهر قاعدة CVSS لتحديد أولوية التصحيح". لكن CVSS لا ينظر حقًا إلى قابلية الاستغلال ، أو ما إذا كان من المحتمل استخدام الثغرة في البرية. لا يخبرك CVSS ما إذا كان الخطأ موجودًا في 15 نظامًا أو في 15 مليون نظام. ولا يذكر ما إذا كان في خوادم متاحة للجمهور أم لا ".

وأضاف: "والأهم من ذلك ، أنه لا يوضح ما إذا كان الخطأ موجودًا أم لا في نظام مهم لمؤسستك المحددة."

وبالتالي ، على الرغم من أن الخطأ قد يحمل تصنيفًا حرجًا يبلغ 10 من 10 على مقياس CVSS ، إلا أن تأثيره الحقيقي قد يكون أقل إثارة للقلق مما قد تشير إليه تلك التسمية الحرجة.

قال: "خطأ تنفيذ التعليمات البرمجية عن بُعد غير المصدق (RCE) في خادم بريد إلكتروني مثل Microsoft Exchange سيولد الكثير من الاهتمام من كتاب الاستغلال". "ربما لن يولد خطأ RCE غير مصدق في خادم بريد إلكتروني مثل Squirrel Mail نفس القدر من الاهتمام."

لملء الفجوات السياقية ، غالبًا ما تلجأ فرق الأمان إلى إرشادات البائعين - والتي ، كما لاحظ تشايلدز ، لديها مشكلتهم الصارخة: غالبًا ما يمارسون الأمن من خلال الغموض.

مايكروسوفت تصحيح الثلاثاء الإخطارات تفتقر إلى التفاصيل

في عام 2021 ، اتخذت Microsoft القرار لإزالة الملخصات التنفيذية
من أدلة التحديث الأمني ​​، بدلاً من إبلاغ المستخدمين بأن درجات CVSS ستكون كافية لتحديد الأولويات - وهو تغيير أزاله Childs.

قال: "يزيل التغيير السياق المطلوب لتحديد المخاطر". "على سبيل المثال ، هل يتسبب خطأ في الكشف عن المعلومات في تفريغ ذاكرة عشوائية أو معلومات تحديد الهوية الشخصية؟ أو لتجاوز ميزة الأمان ، ما الذي يتم تجاوزه؟ المعلومات الواردة في عمليات الكتابة هذه غير متسقة وذات جودة متفاوتة ، على الرغم من النقد شبه العالمي للتغيير ".

بالإضافة إلى Microsoft إما "إزالة المعلومات أو حجبها في التحديثات التي كانت تستخدم لتقديم إرشادات واضحة" ، فقد أصبح من الصعب الآن تحديد معلومات يوم الثلاثاء التصحيحية الأساسية ، مثل عدد الأخطاء التي يتم تصحيحها كل شهر.

"الآن عليك أن تعد نفسك ، وهو في الواقع أحد أصعب الأشياء التي أقوم بها ،" لاحظ تشايلدز.

كما أن المعلومات حول عدد الثغرات الأمنية المعرضة للهجوم النشط أو المعروفة للجمهور لا تزال متاحة ، ولكنها مدفونة في النشرات الآن.

"كمثال ، مع يتم تصحيح 121 من CVEs هذا الشهرقال تشايلدز: "إنه نوع من الصعب البحث في كل منهم للبحث عن أي منها يتعرض لهجوم نشط". "بدلاً من ذلك ، يعتمد الأشخاص الآن على مصادر أخرى للمعلومات مثل المدونات والمقالات الصحفية ، بدلاً من المعلومات التي يجب أن تكون موثوقة من البائع للمساعدة في تحديد المخاطر."

وتجدر الإشارة إلى أن مايكروسوفت ضاعف من التغيير. في محادثة مع Dark Reading في Black Hat USA ، قال نائب رئيس مركز الاستجابة الأمنية لشركة Microsoft ، Aanchal Gupta ، إن الشركة قررت بوعي الحد من المعلومات التي تقدمها في البداية مع CVEs لحماية المستخدمين. بينما توفر Microsoft CVEs معلومات حول شدة الخطأ ، واحتمال استغلاله (وما إذا كان يتم استغلاله بشكل نشط) ، فإن الشركة ستكون حكيمة بشأن كيفية إصدارها لمعلومات استغلال الثغرات الأمنية.

وقال جوبتا إن الهدف هو منح الإدارات الأمنية وقتًا كافيًا لتطبيق التصحيح دون تعريضهم للخطر. وقالت: "إذا قدمنا ​​، في مكافحة التطرف العنيف الخاصة بنا ، جميع التفاصيل المتعلقة بكيفية استغلال الثغرات الأمنية ، فسنكون بلا داع لعملائنا".

غموض ممارسة البائعين الآخرين

Microsoft ليست وحدها في تقديم تفاصيل ضئيلة في عمليات الكشف عن الأخطاء. قال تشايلدز إن العديد من البائعين لا يقدمون تحديات التطرف العنيف على الإطلاق عندما يصدرون تحديثًا.

وأوضح قائلاً: "إنهم يقولون فقط إن التحديث يعمل على إصلاح العديد من المشكلات الأمنية". "كم العدد؟ ما الخطورة؟ ما هي القابلية للاستغلال؟ حتى أن أحد البائعين قال لنا مؤخرًا على وجه التحديد ، إننا لا ننشر نصائح عامة حول القضايا الأمنية. هذه خطوة جريئة ".

بالإضافة إلى ذلك ، يضع بعض البائعين تحذيرات وراء نظام حظر الاشتراك غير المدفوع أو عقود الدعم ، مما يزيد من حجب المخاطر التي يتعرضون لها. أو يقومون بدمج تقارير أخطاء متعددة في مواجهة واحدة للتطرف العنيف ، على الرغم من التصور الشائع بأن مواجهة التطرف العنيف تمثل ثغرة أمنية فريدة.

قال "هذا يؤدي إلى احتمال تحريف حساب المخاطر الخاص بك". "على سبيل المثال ، إذا نظرت إلى شراء منتج ، ورأيت 10 من CVEs تم تصحيحها في فترة زمنية معينة ، فقد تتوصل إلى استنتاج واحد للمخاطر من هذا المنتج الجديد. ومع ذلك ، إذا كنت تعلم أن هذه التعديات العشر تستند إلى أكثر من 10 تقرير خطأ ، فقد تصل إلى نتيجة مختلفة ".

بقع الدواء الوهمي تحديد أولويات الطاعون

بالإضافة إلى مشكلة الكشف ، تواجه فرق الأمن أيضًا مشكلات في التصحيحات نفسها. "بقع الدواء الوهمي" ، وهي "إصلاحات" لا تُحدث تغييرات فعالة في التعليمات البرمجية ، ليست غير شائعة ، وفقًا لما قاله تشايلدز.

وقال: "لذا فإن هذا الخطأ لا يزال موجودًا ويمكن استغلاله من قبل الجهات الفاعلة المهددة ، إلا أنه تم إبلاغهم به الآن". "هناك العديد من الأسباب وراء حدوث ذلك ، لكن هذا يحدث - الحشرات لطيفة للغاية فنحن نصلحها مرتين ".

غالبًا ما توجد أيضًا بقع غير مكتملة ؛ في الواقع ، في برنامج ZDI ، فإن نسبة 10٪ إلى 20٪ من الباحثين الذين يحللون الأخطاء هي نتيجة مباشرة لتصحيح خاطئ أو غير مكتمل.

استخدم الأطفال مثال مشكلة تجاوز عدد صحيح في Adobe Reader مما أدى إلى تخصيص كومة أصغر حجمًا ، مما يؤدي إلى تجاوز سعة المخزن المؤقت عند كتابة الكثير من البيانات إليه.

قال تشايلدز: "لقد توقعنا أن تقوم Adobe بإجراء الإصلاح من خلال تعيين أي قيمة على نقطة معينة لتكون سيئة". "لكن هذا ليس ما رأيناه ، وفي غضون 60 دقيقة من بدء التشغيل ، كان هناك تجاوز التصحيح وكان عليهم التصحيح مرة أخرى. عمليات إعادة التشغيل ليست للبرامج التليفزيونية فقط ".

كيفية مكافحة مشاكل تحديد أولويات التصحيح

في نهاية المطاف ، عندما يتعلق الأمر بتحديد أولويات التصحيح ، تتلخص إدارة التصحيح الفعالة وحساب المخاطر في تحديد أهداف البرامج عالية القيمة داخل المؤسسة وكذلك استخدام مصادر الجهات الخارجية لتضييق نطاق التصحيحات التي ستكون الأكثر أهمية لأي بيئة معينة ، لاحظ الباحثون.

ومع ذلك ، فإن مسألة رشاقة ما بعد الإفصاح هي مجال رئيسي آخر يجب على المنظمات التركيز عليه.

وفقًا لجورينس ، كبير المديرين في ZDI ، لا يضيع مجرمو الإنترنت أي وقت في دمج الملفات ذات الأسطح الكبيرة للهجوم في مجموعات أدوات برامج الفدية أو مجموعات استغلالهم ، بحثًا عن العيوب التي تم الكشف عنها حديثًا قبل أن يكون لدى الشركات الوقت لتصحيحها. هذه البق المزعومة هي النعناع البري للمهاجمين ، الذين يمكنهم في المتوسط ​​إجراء هندسة عكسية للخلل في أقل من 48 ساعة.

قال غورينك: "بالنسبة للجزء الأكبر ، يستخدم المجتمع المهاجم نقاط الضعف في اليوم n التي تتوفر فيها تصحيحات عامة". "من المهم بالنسبة لنا أن نفهم عند الإفصاح ما إذا كان الخلل سيتم تسليحه بالفعل ، لكن معظم البائعين لا يقدمون معلومات بشأن قابلية الاستغلال."

وبالتالي ، يجب أن تكون تقييمات مخاطر المؤسسة ديناميكية بما يكفي لتغيير ما بعد الإفصاح ، ويجب على فرق الأمان مراقبة مصادر معلومات التهديد لفهم متى يتم دمج الخطأ في مجموعة أدوات الاستغلال أو برامج الفدية ، أو عندما يتم إصدار أحد الاستغلال عبر الإنترنت.

بالإضافة إلى ذلك ، فإن الجدول الزمني المهم الذي يجب أن تضعه المؤسسات في الاعتبار هو المدة التي يستغرقها طرح التصحيح فعليًا عبر المؤسسة ، وما إذا كانت هناك موارد طوارئ يمكن الاستفادة منها إذا لزم الأمر.

وأوضح غورينك أنه "عندما تحدث تغييرات في مشهد التهديد (مراجعات التصحيح ، وإثبات المفاهيم العامة ، وإصدارات برمجيات إكسبلويت) ، يجب أن تحول الشركات مواردها لتلبية الحاجة ومكافحة أحدث المخاطر". "ليس فقط الثغرة الأخيرة التي تم الإعلان عنها والمسماة. راقب ما يحدث في مشهد التهديدات ، ووجه مواردك ، وقرر متى تتصرف ".

الطابع الزمني:

اكثر من قراءة مظلمة