BLACK HAT USA – Las Vegas – Ein hochrangiger Microsoft-Sicherheitsmanager verteidigte heute die Offenlegungsrichtlinien des Unternehmens für Schwachstellen, da sie Sicherheitsteams genügend Informationen liefern, um fundierte Patching-Entscheidungen zu treffen, ohne sie dem Risiko von Angriffen durch Bedrohungsakteure auszusetzen, die Patches zur Ausnutzung schnell zurückentwickeln wollen .
In einem Gespräch mit Dark Reading bei Black Hat USA sagte der Corporate Vice President des Security Response Center von Microsoft, Aanchal Gupta, das Unternehmen habe sich bewusst entschieden, die Informationen, die es anfänglich mit seinen CVEs bereitstellt, zu begrenzen, um die Benutzer zu schützen. Während Microsoft CVEs Informationen über den Schweregrad des Fehlers und die Wahrscheinlichkeit seiner Ausnutzung (und ob er aktiv ausgenutzt wird) bereitstellen, wird das Unternehmen vernünftig sein, wie es Informationen zu Schwachstellen-Exploits veröffentlicht.
Für die meisten Schwachstellen besteht der aktuelle Ansatz von Microsoft darin, ein 30-Tage-Fenster nach der Offenlegung des Patches einzuräumen, bevor das CVE mit weiteren Details über die Schwachstelle und ihre Ausnutzbarkeit ausgefüllt wird, sagt Gupta. Das Ziel sei es, den Sicherheitsbehörden genug Zeit zu geben, den Patch anzuwenden, ohne sie zu gefährden, sagt sie. „Wenn wir in unserem CVE alle Details darüber bereitstellen, wie Schwachstellen ausgenutzt werden können, werden wir unsere Kunden einem Zero-Daying unterwerfen“, sagt Gupta.
Spärliche Schwachstelleninformationen?
Microsoft – wie andere große Softwareanbieter – wurde von Sicherheitsforschern wegen der relativ spärlichen Informationen kritisiert, die das Unternehmen mit seinen Offenlegungen von Schwachstellen veröffentlicht. Seit Nov. 2020 verwendet Microsoft dazu das Common Vulnerability Scoring System (CVSS) Framework Sicherheitslücken in seinem Sicherheitsupdate-Leitfaden beschreiben. Die Beschreibungen umfassen Attribute wie Angriffsvektor, Angriffskomplexität und die Art von Privilegien, die ein Angreifer haben könnte. Die Aktualisierungen bieten auch eine Punktzahl, um die Rangfolge des Schweregrads zu vermitteln.
Einige haben die Updates jedoch als kryptisch beschrieben und es fehlten wichtige Informationen über die ausgenutzten Komponenten oder wie sie ausgenutzt werden könnten. Sie haben festgestellt, dass die derzeitige Praxis von Microsoft, Schwachstellen in einen „Exploitation More Likely“- oder „Exploitation Less Likely“-Bucket zu stecken, nicht genügend Informationen liefert, um risikobasierte Priorisierungsentscheidungen zu treffen.
In jüngerer Zeit wurde Microsoft auch wegen angeblicher mangelnder Transparenz in Bezug auf Cloud-Sicherheitslücken kritisiert. Im Juni warf Amit Yoran, CEO von Tenable, dem Unternehmen vor „stilles“ Patchen einiger Azure-Sicherheitslücken die die Forscher von Tenable entdeckt und gemeldet hatten.
„Diese beiden Sicherheitslücken konnten von jedem ausgenutzt werden, der den Azure Synapse-Dienst nutzte“, schrieb Yoran. „Nachdem Microsoft die Situation bewertet hatte, beschloss Microsoft, eines der Probleme stillschweigend zu patchen und das Risiko herunterzuspielen“, und ohne die Kunden zu benachrichtigen.
Yoran wies auf andere Anbieter – wie Orca Security und Wiz – hin, die auf ähnliche Probleme gestoßen waren, nachdem sie Microsoft Sicherheitslücken in Azure offengelegt hatten.
In Übereinstimmung mit den CVE-Richtlinien von MITRE
Laut Gupta entspricht die Entscheidung von Microsoft, ob ein CVE für eine Schwachstelle ausgestellt wird, den Richtlinien des CVE-Programms von MITRE.
„Gemäß ihrer Richtlinie sind wir nicht verpflichtet, eine CVE auszustellen, wenn keine Maßnahmen des Kunden erforderlich sind“, sagt sie. „Das Ziel ist es, den Geräuschpegel für Organisationen niedrig zu halten und sie nicht mit Informationen zu belasten, mit denen sie wenig anfangen können.“
„Sie müssen die 50 Dinge nicht kennen, die Microsoft tut, um die Sicherheit im Alltag zu gewährleisten“, bemerkt sie.
Gupta weist auf die letztjährige Offenlegung von vier kritischen Schwachstellen in der von Wiz hin Open Management Infrastructure (OMI)-Komponente in Azure als Beispiel dafür, wie Microsoft mit Situationen umgeht, in denen eine Cloud-Schwachstelle Kunden betreffen könnte. In dieser Situation bestand die Strategie von Microsoft darin, betroffene Organisationen direkt zu kontaktieren.
„Wir senden Einzelbenachrichtigungen an Kunden, weil wir nicht möchten, dass diese Informationen verloren gehen“, sagt sie. „Wir stellen ein CVE aus, aber wir senden auch eine Benachrichtigung an Kunden, weil es sich um eine Umgebung handelt dass Sie für das Patchen verantwortlich sind, empfehlen wir Ihnen, es schnell zu patchen.“
Manchmal fragt sich eine Organisation, warum sie nicht über ein Problem informiert wurde – das liegt wahrscheinlich daran, dass sie nicht betroffen sind, sagt Gupta.
