BLACK HAT USA – Las Vegas – At holde trit med patching af sikkerhedssårbarhed er i bedste fald udfordrende, men det er blevet sværere end nogensinde før at prioritere, hvilke fejl der skal fokuseres på, takket være kontekst-manglende CVSS-score, mudrede leverandørrådgivning og ufuldstændige rettelser, der efterlade administratorer med en falsk følelse af sikkerhed.
Det er argumentet, som Brian Gorenc og Dustin Childs, begge med Trend Micros Zero Day Initiative (ZDI), fremførte fra scenen i Black Hat USA under deres session, "Beregning af risiko i uklarhedens æra: Læsning mellem linjerne af sikkerhedsrådgivning".
ZDI har afsløret mere end 10,000 sårbarheder til leverandører på tværs af branchen siden 2005. I løbet af den tid sagde ZDI kommunikationschef Childs, at han har bemærket en foruroligende tendens, som er et fald i patchkvalitet og reduktion af kommunikation omkring sikkerhedsopdateringer.
"Det virkelige problem opstår, når leverandører frigiver defekte patches eller unøjagtige og ufuldstændige oplysninger om disse patches, der kan få virksomheder til at fejlberegne deres risiko," bemærkede han. "Defekte patches kan også være en velsignelse for at udnytte forfattere, da 'n-dage' er meget nemmere at bruge end nul-dage."
Problemet med CVSS-score og patching-prioritet
De fleste cybersikkerhedshold er underbemandede og under pres, og mantraet "hold altid alle softwareversioner up-to-date" giver ikke altid mening for afdelinger, der simpelthen ikke har ressourcerne til at dække havnefronten. Det er derfor, at prioritering af, hvilke patches, der skal anvendes i henhold til deres sværhedsgrad i Common Vulnerability Severity Scale (CVSS), er blevet en tilbagegang for mange administratorer.
Childs bemærkede dog, at denne tilgang er dybt mangelfuld og kan føre til, at der bliver brugt ressourcer på fejl, der sandsynligvis aldrig vil blive udnyttet. Det skyldes, at der er et væld af kritiske oplysninger, som CVSS-score ikke giver.
"Alt for ofte ser virksomheder ikke længere end CVSS-basekernen for at bestemme patching-prioriteten," sagde han. "Men CVSS'en ser ikke rigtig på udnyttelse, eller om en sårbarhed sandsynligvis vil blive brugt i naturen. CVSS fortæller dig ikke, om fejlen findes i 15 systemer eller i 15 millioner systemer. Og det siger ikke, om det er på offentligt tilgængelige servere.
Han tilføjede, "Og vigtigst af alt, det siger ikke, om fejlen er til stede i et system, der er kritisk for din specifikke virksomhed."
Selvom en fejl kan have en kritisk vurdering på 10 ud af 10 på CVSS-skalaen, kan dens sande effekt være meget mindre bekymrende, end den kritiske etiket indikerer.
"En uautoriseret fjernudførelse af kode (RCE) fejl i en e-mail-server som Microsoft Exchange vil generere en masse interesse fra udnytte forfattere," sagde han. "En uautoriseret RCE-fejl i en e-mail-server som Squirrel Mail vil sandsynligvis ikke generere så meget opmærksomhed."
For at udfylde de kontekstuelle huller henvender sikkerhedsteam sig ofte til leverandørrådgivning – som, bemærkede Childs, har deres eget åbenlyse problem: De praktiserer ofte sikkerhed gennem uklarhed.
Microsoft Patch Tuesday Advisories mangler detaljer
I 2021 traf Microsoft beslutningen at fjerne resuméer
fra sikkerhedsopdateringsvejledninger, i stedet for at informere brugerne om, at CVSS-score ville være tilstrækkelige til prioritering – en ændring, som Childs bragede.
"Ændringen fjerner den kontekst, der er nødvendig for at bestemme risiko," sagde han. "Dumper en informations-afsløringsfejl for eksempel tilfældig hukommelse eller PII? Eller hvad bliver omgået for en sikkerhedsfunktions-omgåelse? Oplysningerne i disse nedskrivninger er inkonsekvente og af varierende kvalitet på trods af næsten universel kritik af ændringen."
Ud over at Microsoft enten har "fjernet eller sløret information i opdateringer, der før producerede klar vejledning", er det nu også sværere at bestemme grundlæggende Patch Tuesday-oplysninger, såsom hvor mange fejl der bliver rettet hver måned.
"Nu skal du tælle dig selv, og det er faktisk en af de sværeste ting, jeg gør," bemærkede Childs.
Desuden er oplysningerne om, hvor mange sårbarheder, der er under aktivt angreb eller offentligt kendt, stadig tilgængelige, men begravet i bulletinerne nu.
“Som et eksempel med 121 CVE'er bliver patchet denne måned, det er lidt svært at grave igennem dem alle for at se efter, hvilke der er under aktivt angreb,” sagde Childs. "I stedet er folk nu afhængige af andre informationskilder som blogs og presseartikler, snarere end hvad der burde være autoritativ information fra leverandøren for at hjælpe med at bestemme risiko."
Det skal bemærkes, at Microsoft har fordoblet ændringen. I en samtale med Dark Reading hos Black Hat USA sagde virksomhedsdirektøren for Microsofts Security Response Center, Aanchal Gupta, at virksomheden bevidst har besluttet at begrænse den information, som den oprindeligt giver med sine CVE'er for at beskytte brugerne. Mens Microsoft CVE'er giver information om sværhedsgraden af fejlen og sandsynligheden for, at den bliver udnyttet (og om den bliver udnyttet aktivt), vil virksomheden være velovervejet med hensyn til, hvordan den frigiver oplysninger om sårbarhed, sagde hun.
Målet er at give sikkerhedsadministrationerne nok tid til at anvende patchen uden at bringe dem i fare, sagde Gupta. "Hvis vi i vores CVE leverede alle detaljer om, hvordan sårbarheder kan udnyttes, vil vi være nul-dages vores kunder," sagde hun.
Andre leverandører praktiserer uklarhed
Microsoft er næppe alene om at give sparsomme detaljer i fejlmeddelelser. Childs sagde, at mange leverandører slet ikke leverer CVE'er, når de udgiver en opdatering.
"De siger bare, at opdateringen løser flere sikkerhedsproblemer," forklarede han. "Hvor mange? Hvad er sværhedsgraden? Hvad er udnyttelsen? Vi fik endda en leverandør til at sige specifikt til os, at vi ikke udgiver offentlige meddelelser om sikkerhedsspørgsmål. Det er et modigt træk.”
Derudover sætter nogle leverandører råd bag betalingsmure eller supportkontrakter, hvilket yderligere skjuler deres risiko. Eller de kombinerer flere fejlrapporter til en enkelt CVE, på trods af den almindelige opfattelse, at en CVE repræsenterer en enkelt unik sårbarhed.
"Dette fører til muligvis skævvridning af din risikoberegning," sagde han. "For eksempel, hvis du ser på at købe et produkt, og du ser 10 CVE'er, der er blevet rettet i en vis tid, kan du komme med en konklusion på risikoen ved dette nye produkt. Men hvis du vidste, at de 10 CVE'er var baseret på 100+ fejlrapporter, kan du komme til en anden konklusion."
Placebo Patches Plage Prioritering
Ud over afsløringsproblemet står sikkerhedsteams også over for problemer med selve programrettelserne. "Placebo-patches", som er "rettelser", der faktisk ikke foretager effektive kodeændringer, er ifølge Childs ikke ualmindelige.
"Så den fejl er der stadig og kan udnyttes til trusselsaktører, bortset fra at de nu er blevet informeret om det," sagde han. "Der er mange grunde til, at dette kunne ske, men det sker - bugs så søde, at vi lapper dem to gange."
Der er også ofte plastre, der er ufuldstændige; faktisk i ZDI-programmet er hele 10% til 20% af de fejl, forskere analyserer, det direkte resultat af en defekt eller ufuldstændig patch.
Childs brugte eksemplet med et heltalsoverløbsproblem i Adobe Reader, der førte til underdimensioneret heap-allokering, hvilket resulterer i et bufferoverløb, når der skrives for mange data til det.
"Vi forventede, at Adobe ville lave rettelsen ved at indstille enhver værdi over et bestemt punkt til at være dårlig," sagde Childs. "Men det var ikke det, vi så, og inden for 60 minutter efter udrulningen var der en patch-bypass, og de måtte lappe igen. Genudsendelser er ikke kun for tv-shows."
Sådan bekæmpes patch-prioriteringsproblemer
I sidste ende når det kommer til patch-prioritering, koger effektiv patch-styring og risikoberegning ned til at identificere højværdi-softwaremål i organisationen samt at bruge tredjepartskilder til at indsnævre, hvilke patches der ville være de vigtigste for et givet miljø. bemærkede forskere.
Spørgsmålet om smidighed efter offentliggørelse er dog et andet nøgleområde for organisationer at fokusere på.
Ifølge Gorenc, seniordirektør hos ZDI, spilder cyberkriminelle ingen tid på at integrere vulner med store angrebsflader i deres ransomware-værktøjssæt eller deres udnyttelsessæt, og søger at bevæbne nyligt afslørede fejl, før virksomheder når at rette. Disse såkaldte n-dages bugs er katteurt for angribere, som i gennemsnit kan reverse-engineere en fejl på så lidt som 48 timer.
"For det meste bruger det offensive samfund n-dages sårbarheder, der har offentlige patches tilgængelige," sagde Gorenc. "Det er vigtigt for os at forstå ved offentliggørelsen, om en fejl faktisk vil blive våben, men de fleste leverandører giver ikke oplysninger om udnyttelse."
Derfor skal virksomhedens risikovurderinger være dynamiske nok til at ændre post-offentliggørelsen, og sikkerhedsteams bør overvåge trusselsintelligenskilder for at forstå, hvornår en fejl er integreret i et udnyttelseskit eller ransomware, eller hvornår en udnyttelse frigives online.
I tillæg til det er en vigtig tidslinje for virksomheder at overveje, hvor lang tid det tager at udrulle en patch på tværs af organisationen, og om der er nødressourcer, der kan bringes i brug, hvis det er nødvendigt.
"Når der sker ændringer i trusselslandskabet (patch-revisioner, offentlige proof-of-concepts og udnyttelsesudgivelser), bør virksomheder flytte deres ressourcer for at imødekomme behovet og bekæmpe de seneste risici," forklarede Gorenc. "Ikke kun den seneste offentliggjorte og navngivne sårbarhed. Observer, hvad der foregår i trusselslandskabet, orienter dine ressourcer og beslut, hvornår du skal handle."
