BLACK HAT USA — Las Vegas — En top Microsoft-sikkerhedschef forsvarede i dag virksomhedens politikker for afsløring af sårbarheder som at give tilstrækkelig information til sikkerhedsteams til at træffe informerede beslutninger om patch uden at sætte dem i fare for angreb fra trusselsaktører, der ønsker hurtigt at reverse-engine patches til udnyttelse .
I en samtale med Dark Reading hos Black Hat USA sagde virksomhedsdirektøren for Microsofts Security Response Center, Aanchal Gupta, at virksomheden bevidst har besluttet at begrænse den information, som den oprindeligt giver med sine CVE'er for at beskytte brugerne. Mens Microsoft CVE'er giver oplysninger om alvorligheden af fejlen og sandsynligheden for, at den bliver udnyttet (og om den bliver udnyttet aktivt), vil virksomheden være velovervejet med hensyn til, hvordan den frigiver oplysninger om sårbarhed.
For de fleste sårbarheder er Microsofts nuværende tilgang at give et 30-dages vindue fra patch-offentliggørelsen, før den udfylder CVE'en med flere detaljer om sårbarheden og dens udnyttelsesmuligheder, siger Gupta. Målet er at give sikkerhedsadministrationerne tid nok til at anvende patchen uden at bringe dem i fare, siger hun. "Hvis vi i vores CVE oplyste alle detaljer om, hvordan sårbarheder kan udnyttes, vil vi være nul-dages vores kunder," siger Gupta.
Sparsomme sårbarhedsoplysninger?
Microsoft - som andre store softwareleverandører - har været udsat for kritik fra sikkerhedsforskere for de relativt sparsomme oplysninger, som virksomheden frigiver med sine afsløringer om sårbarhed. Siden november 2020 har Microsoft brugt Common Vulnerability Scoring System (CVSS) til at beskrive sårbarheder i sin sikkerhedsopdateringsvejledning. Beskrivelserne dækker attributter såsom angrebsvektor, angrebskompleksitet og den slags privilegier, en angriber måtte have. Opdateringerne giver også en score til at formidle alvorlighedsrangering.
Nogle har dog beskrevet opdateringerne som kryptiske og mangler kritisk information om de komponenter, der udnyttes, eller hvordan de kan udnyttes. De har bemærket, at Microsofts nuværende praksis med at placere sårbarheder i en "Exploitation More Likely" eller en "Exploitation Less Likely"-bøtte ikke giver nok information til at træffe risikobaserede prioriteringsbeslutninger.
På det seneste har Microsoft også været udsat for en del kritik for sin påståede mangel på gennemsigtighed vedrørende sikkerhedssårbarheder i skyen. I juni anklagede Tenables administrerende direktør Amit Yoran virksomheden for "lydløst" retter et par Azure-sårbarheder som Tenables forskere havde opdaget og rapporteret.
"Begge disse sårbarheder kunne udnyttes af alle, der brugte Azure Synapse-tjenesten," skrev Yoran. "Efter at have evalueret situationen besluttede Microsoft at lappe et af problemerne i stilhed og nedtone risikoen," og uden at underrette kunderne.
Yoran pegede på andre leverandører - såsom Orca Security og Wiz - der var stødt på lignende problemer, efter at de afslørede sårbarheder i Azure til Microsoft.
I overensstemmelse med MITRE's CVE-politikker
Gupta siger, at Microsofts beslutning om, hvorvidt der skal udstedes en CVE for en sårbarhed, er i overensstemmelse med politikkerne i MITREs CVE-program.
"I henhold til deres politik, hvis der ikke er behov for kundehandling, er vi ikke forpligtet til at udstede en CVE," siger hun. "Målet er at holde støjniveauet nede for organisationer og ikke belaste dem med information, de ikke kan gøre meget med."
"Du behøver ikke kende de 50 ting, Microsoft gør for at holde tingene sikre på en daglig basis," bemærker hun.
Gupta peger på sidste års afsløring af Wiz af fire kritiske sårbarheder i Open Management Infrastructure (OMI)-komponent i Azure som et eksempel på, hvordan Microsoft håndterer situationer, hvor en cloud-sårbarhed kan påvirke kunderne. I den situation var Microsofts strategi at kontakte organisationer, der er berørt, direkte.
"Det, vi gør, er at sende en-til-en-meddelelser til kunderne, fordi vi ikke ønsker, at denne information skal gå tabt," siger hun "Vi udsteder en CVE, men vi sender også en meddelelse til kunderne, fordi hvis den er i et miljø at du er ansvarlig for at lappe, anbefaler vi, at du lapper det hurtigt."
Nogle gange kan en organisation undre sig over, hvorfor de ikke blev underrettet om et problem - det er sandsynligvis fordi de ikke er påvirket, siger Gupta.
