BLACK HAT USA – Las Vegas – Mit dem Patchen von Sicherheitslücken Schritt zu halten, ist bestenfalls eine Herausforderung, aber die Priorisierung der Fehler, auf die man sich konzentrieren sollte, ist schwieriger denn je geworden, dank kontextloser CVSS-Ergebnisse, schlammigen Anbieterhinweisen und unvollständigen Korrekturen dafür Admins mit einem falschen Gefühl der Sicherheit zurücklassen.
Das ist das Argument, das Brian Gorenc und Dustin Childs, beide von der Zero Day Initiative (ZDI) von Trend Micro, während ihrer Sitzung auf der Bühne von Black Hat USA vorbrachten: „Risikoberechnung im Zeitalter der Obskurität: Lesen zwischen den Zeilen von Sicherheitshinweisen"
ZDI hat seit 10,000 mehr als 2005 Schwachstellen gegenüber Anbietern in der gesamten Branche offengelegt. Im Laufe dieser Zeit sagte ZDI-Kommunikationsmanager Childs, dass er einen beunruhigenden Trend bemerkt habe, nämlich eine Abnahme der Patch-Qualität und eine Reduzierung der Kommunikation im Zusammenhang mit Sicherheitsupdates.
„Das eigentliche Problem entsteht, wenn Anbieter fehlerhafte Patches oder ungenaue und unvollständige Informationen über diese Patches veröffentlichen, die dazu führen können, dass Unternehmen ihr Risiko falsch einschätzen“, bemerkte er. „Fehlerhafte Patches können auch ein Segen für Exploit-Autoren sein, da ‚n-Days‘ viel einfacher zu verwenden sind als Zero-Days.“
Das Problem mit CVSS-Ergebnissen und Patching-Priorität
Die meisten Cybersicherheitsteams sind unterbesetzt und stehen unter Druck, und das Mantra „alle Softwareversionen immer auf dem neuesten Stand halten“ ist nicht immer sinnvoll für Abteilungen, die einfach nicht über die Ressourcen verfügen, um die Waterfront abzudecken. Aus diesem Grund ist die Priorisierung der anzuwendenden Patches nach ihrer Schweregradbewertung in der Common Vulnerability Severity Scale (CVSS) für viele Administratoren zu einem Rückfall geworden.
Childs stellte jedoch fest, dass dieser Ansatz zutiefst fehlerhaft ist und dazu führen kann, dass Ressourcen für Fehler ausgegeben werden, die wahrscheinlich nie ausgenutzt werden. Das liegt daran, dass es eine Menge wichtiger Informationen gibt, die der CVSS-Score nicht liefert.
„Allzu oft suchen Unternehmen nicht weiter als nach dem CVSS-Basiskern, um die Patch-Priorität zu bestimmen“, sagte er. „Aber der CVSS betrachtet nicht wirklich die Ausnutzbarkeit oder ob eine Schwachstelle wahrscheinlich in freier Wildbahn ausgenutzt wird. Der CVSS sagt Ihnen nicht, ob der Fehler in 15 Systemen oder in 15 Millionen Systemen vorhanden ist. Und es wird nicht gesagt, ob es sich um öffentlich zugängliche Server handelt oder nicht.“
Er fügte hinzu: „Und was am wichtigsten ist, es sagt nicht aus, ob der Fehler in einem System vorhanden ist, das für Ihr spezifisches Unternehmen von entscheidender Bedeutung ist.“
Auch wenn ein Fehler auf der CVSS-Skala eine kritische Bewertung von 10 von 10 hat, kann seine wahre Auswirkung viel weniger besorgniserregend sein, als die kritische Bezeichnung vermuten lässt.
„Ein nicht authentifizierter RCE-Bug (Remote Code Execution) in einem E-Mail-Server wie Microsoft Exchange wird großes Interesse bei Exploit-Autoren wecken“, sagte er. „Ein nicht authentifizierter RCE-Fehler in einem E-Mail-Server wie Squirrel Mail wird wahrscheinlich nicht so viel Aufmerksamkeit erregen.“
Um die inhaltlichen Lücken zu schließen, wenden sich Sicherheitsteams oft an die Empfehlungen der Anbieter – die, wie Childs feststellte, ihr eigenes eklatantes Problem haben: Sie praktizieren Sicherheit oft durch Unklarheit.
Den Microsoft Patch Tuesday Advisories fehlen Details
2021 traf Microsoft die Entscheidung Zusammenfassungen zu entfernen
aus Sicherheitsupdate-Leitfäden, anstatt die Benutzer darüber zu informieren, dass CVSS-Scores für die Priorisierung ausreichen würden – eine Änderung, die Childs gesprengt hat.
„Durch die Änderung wird der Kontext entfernt, der zur Bestimmung des Risikos erforderlich ist“, sagte er. „Zum Beispiel, gibt ein Fehler bei der Offenlegung von Informationen zufälligen Speicher oder PII aus? Oder was wird bei einer Umgehung von Sicherheitsfunktionen umgangen? Die Informationen in diesen Zuschreibungen sind widersprüchlich und von unterschiedlicher Qualität, trotz nahezu allgemeiner Kritik an der Änderung.“
Zusätzlich dazu, dass Microsoft „Informationen in Updates entweder entfernt oder verschleiert, die früher eine klare Anleitung lieferten“, ist es jetzt auch schwieriger, grundlegende Patchday-Informationen zu bestimmen, wie z. B. wie viele Fehler jeden Monat gepatcht werden.
„Jetzt musst du dich selbst zählen, und das ist tatsächlich eines der schwierigsten Dinge, die ich tue“, bemerkte Childs.
Auch die Informationen darüber, wie viele Schwachstellen aktiv angegriffen werden oder öffentlich bekannt sind, sind immer noch verfügbar, aber jetzt in den Bulletins vergraben.
„Zum Beispiel mit 121 CVEs werden diesen Monat gepatcht, es ist ziemlich schwierig, sie alle zu durchsuchen, um herauszufinden, welche aktiv angegriffen werden“, sagte Childs. „Stattdessen verlassen sich die Menschen jetzt auf andere Informationsquellen wie Blogs und Presseartikel und nicht auf die maßgeblichen Informationen des Anbieters, um das Risiko zu bestimmen.“
Es sei darauf hingewiesen, dass Microsoft hat sich auf die Änderung verdoppelt. In einem Gespräch mit Dark Reading bei Black Hat USA sagte der Corporate Vice President des Security Response Center von Microsoft, Aanchal Gupta, das Unternehmen habe sich bewusst entschieden, die Informationen, die es anfänglich mit seinen CVEs bereitstellt, zu begrenzen, um die Benutzer zu schützen. Während Microsoft CVEs Informationen über die Schwere des Fehlers und die Wahrscheinlichkeit seiner Ausnutzung (und ob er aktiv ausgenutzt wird) liefern, wird das Unternehmen vernünftig sein, wie es Informationen zu Schwachstellen-Exploits veröffentlicht, sagte sie.
Ziel sei es, den Sicherheitsbehörden genügend Zeit zu geben, den Patch anzuwenden, ohne sie zu gefährden, sagte Gupta. „Wenn wir in unserem CVE alle Details darüber angeben, wie Schwachstellen ausgenutzt werden können, werden wir unsere Kunden auf Null setzen“, sagte sie.
Andere Anbieter praktizieren Unklarheit
Microsoft ist kaum der Einzige, der spärliche Details in den Offenlegungen von Fehlern bereitstellt. Childs sagte, dass viele Anbieter überhaupt keine CVEs bereitstellen, wenn sie ein Update veröffentlichen.
„Sie sagen nur, dass das Update mehrere Sicherheitsprobleme behebt“, erklärte er. "Wie viele? Was ist der Schweregrad? Was ist die Ausnutzbarkeit? Kürzlich hat uns sogar ein Anbieter ausdrücklich gesagt, dass wir keine öffentlichen Sicherheitshinweise veröffentlichen. Das ist ein mutiger Schritt.“
Darüber hinaus stecken einige Anbieter Ratschläge hinter Paywalls oder Supportverträgen, um ihr Risiko weiter zu verschleiern. Oder sie fassen mehrere Fehlerberichte zu einem einzigen CVE zusammen, obwohl allgemein angenommen wird, dass ein CVE eine einzige, einzigartige Schwachstelle darstellt.
„Dies führt möglicherweise dazu, dass Ihre Risikoberechnung verzerrt wird“, sagte er. „Wenn Sie beispielsweise ein Produkt kaufen und 10 CVEs sehen, die in einem bestimmten Zeitraum gepatcht wurden, können Sie zu einer Schlussfolgerung über das Risiko dieses neuen Produkts kommen. Wenn Sie jedoch wüssten, dass diese 10 CVEs auf über 100 Fehlerberichten basieren, könnten Sie zu einem anderen Schluss kommen.“
Placebo-Patches Pest-Priorisierung
Über das Offenlegungsproblem hinaus haben Sicherheitsteams auch Probleme mit den Patches selbst. „Placebo-Patches“, also „Korrekturen“, die eigentlich keine effektiven Codeänderungen bewirken, sind laut Childs keine Seltenheit.
„Dieser Bug ist also immer noch da und kann von Bedrohungsakteuren ausgenutzt werden, es sei denn, sie wurden jetzt darüber informiert“, sagte er. „Es gibt viele Gründe, warum dies passieren könnte, aber es kommt vor – Fehler, die so nett sind, dass wir sie zweimal patchen.“
Es gibt auch oft Patches, die unvollständig sind; Tatsächlich sind im ZDI-Programm ganze 10 % bis 20 % der von Forschern analysierten Fehler das direkte Ergebnis eines fehlerhaften oder unvollständigen Patches.
Childs führte das Beispiel eines Integer-Überlaufproblems in Adobe Reader an, das zu einer zu kleinen Heap-Zuordnung führte, was zu einem Pufferüberlauf führt, wenn zu viele Daten darauf geschrieben werden.
„Wir haben erwartet, dass Adobe das Problem beheben würde, indem jeder Wert über einem bestimmten Punkt als schlecht festgelegt wird“, sagte Childs. „Aber das haben wir nicht gesehen, und innerhalb von 60 Minuten nach der Einführung gab es eine Umgehung des Patches und sie mussten erneut patchen. Wiederholungen sind nicht nur für Fernsehsendungen.“
Wie man Patch-Priorisierungsprobleme bekämpft
Wenn es um die Patch-Priorisierung geht, läuft ein effektives Patch-Management und eine effektive Risikoberechnung letztendlich darauf hinaus, hochwertige Softwareziele innerhalb der Organisation zu identifizieren und Drittanbieterquellen zu nutzen, um einzugrenzen, welche Patches für eine bestimmte Umgebung am wichtigsten sind Forscher bemerkten.
Das Problem der Agilität nach der Offenlegung ist jedoch ein weiterer wichtiger Bereich, auf den sich Unternehmen konzentrieren sollten.
Laut Gorenc, Senior Director bei ZDI, verschwenden Cyberkriminelle keine Zeit damit, Schwachstellen mit großen Angriffsflächen in ihre Ransomware-Toolsets oder ihre Exploit-Kits zu integrieren, um neu aufgedeckte Schwachstellen zu einer Waffe zu machen, bevor Unternehmen Zeit zum Patchen haben. Diese sogenannten N-Day-Bugs sind eine Katzenminze für Angreifer, die einen Bug im Durchschnitt in nur 48 Stunden zurückentwickeln können.
„Die offensive Community nutzt größtenteils N-Day-Schwachstellen, für die öffentliche Patches verfügbar sind“, sagte Gorenc. „Für uns ist es wichtig, bei der Offenlegung zu verstehen, ob ein Fehler tatsächlich zur Waffe wird, aber die meisten Anbieter stellen keine Informationen zur Ausnutzbarkeit zur Verfügung.“
Daher müssen Unternehmensrisikobewertungen dynamisch genug sein, um sich nach der Offenlegung ändern zu können, und Sicherheitsteams sollten Quellen von Bedrohungsinformationen überwachen, um zu verstehen, wann ein Fehler in ein Exploit-Kit oder eine Ransomware integriert oder wann ein Exploit online veröffentlicht wird.
Darüber hinaus ist ein wichtiger Zeitrahmen, den Unternehmen berücksichtigen sollten, wie lange es dauert, einen Patch tatsächlich in der gesamten Organisation auszurollen, und ob Notfallressourcen vorhanden sind, die bei Bedarf eingesetzt werden können.
„Wenn Änderungen an der Bedrohungslandschaft auftreten (Patch-Revisionen, öffentliche Proof-of-Concepts und Exploit-Veröffentlichungen), sollten Unternehmen ihre Ressourcen verlagern, um den Bedarf zu decken und die neuesten Risiken zu bekämpfen“, erklärte Gorenc. „Nicht nur die neueste veröffentlichte und benannte Schwachstelle. Beobachten Sie, was in der Bedrohungslandschaft vor sich geht, orientieren Sie Ihre Ressourcen und entscheiden Sie, wann Sie handeln müssen.“
