Microsoft: Δεν θέλουμε να μηδενίσουμε τους πελάτες μας

ΜΑΥΡΟ ΚΑΠΕΛΟ Η.Π.Α. — Λας Βέγκας — Ένα κορυφαίο στέλεχος ασφαλείας της Microsoft υπερασπίστηκε σήμερα τις πολιτικές αποκάλυψης ευπάθειας της εταιρείας, καθώς παρέχει αρκετές πληροφορίες για τις ομάδες ασφαλείας ώστε να λαμβάνουν ενημερωμένες αποφάσεις επιδιόρθωσης χωρίς να τις θέτει σε κίνδυνο επίθεσης από παράγοντες απειλών που θέλουν να αντιστρέψουν γρήγορα ενημερώσεις κώδικα για εκμετάλλευση .

Σε μια συνομιλία με την Dark Reading στο Black Hat USA, ο εταιρικός αντιπρόεδρος του Κέντρου Απάντησης Ασφαλείας της Microsoft, Aanchal Gupta, είπε ότι η εταιρεία αποφάσισε συνειδητά να περιορίσει τις πληροφορίες που παρέχει αρχικά με τα CVE της για να προστατεύσει τους χρήστες. Ενώ τα Microsoft CVE παρέχουν πληροφορίες σχετικά με τη σοβαρότητα του σφάλματος και την πιθανότητα εκμετάλλευσής του (και εάν γίνεται ενεργή εκμετάλλευση), η εταιρεία θα είναι συνετή σχετικά με τον τρόπο με τον οποίο δημοσιεύει πληροφορίες εκμετάλλευσης ευπάθειας.

Για τα περισσότερα τρωτά σημεία, η τρέχουσα προσέγγιση της Microsoft είναι να δώσει ένα παράθυρο 30 ημερών από την αποκάλυψη της ενημέρωσης κώδικα προτού συμπληρώσει το CVE με περισσότερες λεπτομέρειες σχετικά με την ευπάθεια και την εκμετάλλευσή της, λέει ο Gupta. Ο στόχος είναι να δοθεί στις διοικήσεις ασφαλείας αρκετός χρόνος για να εφαρμόσουν την ενημερωμένη έκδοση κώδικα χωρίς να τεθούν σε κίνδυνο, λέει. "Εάν, στο CVE μας, παρέχουμε όλες τις λεπτομέρειες για το πώς μπορούν να εκμεταλλευτούν τα τρωτά σημεία, θα καταστήσουμε μηδενική ημέρα τους πελάτες μας", λέει ο Gupta.

Αραιές πληροφορίες ευπάθειας;

Η Microsoft - όπως και άλλοι μεγάλοι προμηθευτές λογισμικού - έχει αντιμετωπίσει κριτική από ερευνητές ασφαλείας για τις σχετικά αραιές πληροφορίες που δημοσιεύει η εταιρεία με τις αποκαλύψεις ευπάθειας. Από τον Νοέμβριο του 2020, η Microsoft χρησιμοποιεί το πλαίσιο Common Vulnerability Scoring System (CVSS) για να περιγράφει τις ευπάθειες στον οδηγό ενημέρωσης ασφαλείας. Οι περιγραφές καλύπτουν χαρακτηριστικά όπως διάνυσμα επίθεσης, πολυπλοκότητα επίθεσης και το είδος των προνομίων που μπορεί να έχει ένας εισβολέας. Οι ενημερώσεις παρέχουν επίσης μια βαθμολογία για τη μετάδοση της κατάταξης σοβαρότητας.

Ωστόσο, ορισμένοι έχουν περιγράψει τις ενημερώσεις ως κρυπτικές και στερούνται κρίσιμων πληροφοριών σχετικά με τα στοιχεία που αποτελούν αντικείμενο εκμετάλλευσης ή τον τρόπο εκμετάλλευσης τους. Σημείωσαν ότι η τρέχουσα πρακτική της Microsoft να τοποθετεί τα τρωτά σημεία σε έναν κάδο «Εκτέλεση Πιθανότερη» ή «Αξιοποίηση Λιγότερο Πιθανή» δεν παρέχει αρκετές πληροφορίες για τη λήψη αποφάσεων ιεράρχησης βάσει κινδύνου.

Πιο πρόσφατα, η Microsoft αντιμετώπισε επίσης κάποιες επικρίσεις για την υποτιθέμενη έλλειψη διαφάνειας σχετικά με τα τρωτά σημεία ασφάλειας του cloud. Τον Ιούνιο, ο Διευθύνων Σύμβουλος της Tenable Amit Yoran κατηγόρησε την εταιρεία για Επιδιορθώνοντας "σιωπηλά" μερικά τρωτά σημεία του Azure που είχαν ανακαλύψει και ανέφεραν οι ερευνητές του Tenable.

«Και τα δύο αυτά τρωτά σημεία ήταν εκμεταλλεύσιμα από οποιονδήποτε χρησιμοποιεί την υπηρεσία Azure Synapse», έγραψε ο Yoran. «Μετά την αξιολόγηση της κατάστασης, η Microsoft αποφάσισε να επιδιορθώσει σιωπηλά ένα από τα προβλήματα, υποβαθμίζοντας τον κίνδυνο» και χωρίς να ειδοποιήσει τους πελάτες.

Ο Yoran επεσήμανε άλλους προμηθευτές - όπως η Orca Security και η Wiz - που αντιμετώπισαν παρόμοια προβλήματα αφού αποκάλυψαν ευπάθειες στο Azure στη Microsoft.

Συνεπής με τις Πολιτικές CVE της MITRE

Ο Gupta λέει ότι η απόφαση της Microsoft σχετικά με το εάν θα εκδώσει ένα CVE για μια ευπάθεια είναι σύμφωνη με τις πολιτικές του προγράμματος CVE της MITRE.

«Σύμφωνα με την πολιτική τους, εάν δεν απαιτείται ενέργεια από τον πελάτη, δεν απαιτείται να εκδώσουμε CVE», λέει. «Ο στόχος είναι να διατηρηθεί το επίπεδο θορύβου για τους οργανισμούς και να μην τους επιβαρύνουμε με πληροφορίες με τις οποίες μπορούν να κάνουν λίγα».

«Δεν χρειάζεται να γνωρίζετε τα 50 πράγματα που κάνει η Microsoft για να διατηρεί τα πράγματα ασφαλή σε καθημερινή βάση», σημειώνει.

Ο Gupta επισημαίνει την περσινή αποκάλυψη από το Wiz τεσσάρων κρίσιμων τρωτών σημείων στο Στοιχείο Open Management Infrastructure (OMI) στο Azure ως παράδειγμα του τρόπου με τον οποίο η Microsoft χειρίζεται καταστάσεις όπου μια ευπάθεια στο cloud μπορεί να επηρεάσει τους πελάτες. Σε αυτήν την περίπτωση, η στρατηγική της Microsoft ήταν να επικοινωνήσει απευθείας με οργανισμούς που επηρεάζονται.

"Αυτό που κάνουμε είναι να στέλνουμε ειδοποιήσεις ένας προς έναν στους πελάτες γιατί δεν θέλουμε να χαθούν αυτές οι πληροφορίες", λέει "Εκδίδουμε ένα CVE, αλλά στέλνουμε επίσης μια ειδοποίηση στους πελάτες επειδή εάν είναι σε περιβάλλον ότι είστε υπεύθυνοι για την επιδιόρθωση, σας συνιστούμε να το επιδιορθώσετε γρήγορα."

Μερικές φορές ένας οργανισμός μπορεί να αναρωτηθεί γιατί δεν ειδοποιήθηκε για ένα ζήτημα - αυτό είναι πιθανό επειδή δεν επηρεάζεται, λέει ο Gupta.