BLACK HAT USA – Las Vegas – Microsofti kõrgeim turbejuht kaitses täna ettevõtte haavatavuse avalikustamise poliitikat, kuna see annab turvameeskondadele piisavalt teavet, et nad saaksid teha teadlikke paigaotsuseid, seadmata neid ohtu ohustajate poolt, kes soovivad plaastreid ekspluateerimiseks kiiresti ümber kujundada. .
Vestluses Dark Readingiga Black Hat USA-s ütles Microsofti turvareageerimiskeskuse ettevõtte asepresident Aanchal Gupta, et ettevõte on teadlikult otsustanud kasutajate kaitsmiseks piirata teavet, mida ta algselt oma CVE-dega annab. Kuigi Microsofti CVE-d pakuvad teavet vea tõsiduse ja selle ärakasutamise tõenäosuse kohta (ja selle kohta, kas seda kasutatakse aktiivselt), suhtub ettevõte haavatavuse ärakasutamise teabe väljastamisesse hoolikalt.
Enamiku haavatavuste puhul on Microsofti praegune lähenemisviis anda 30-päevane aken paiga avalikustamisest enne, kui see täidab CVE haavatavuse ja selle kasutatavuse kohta rohkem üksikasju, ütleb Gupta. Ta ütleb, et eesmärk on anda turvahalduritele piisavalt aega plaastri paigaldamiseks ilma neid ohtu seadmata. "Kui esitasime oma CVE-s kõik üksikasjad selle kohta, kuidas turvaauke saab ära kasutada, ei tee me oma kliente nullist," ütleb Gupta.
Vähene teave haavatavuse kohta?
Microsoft – nagu ka teised suuremad tarkvaramüüjad – on sattunud turvauurijate kriitika alla suhteliselt vähese teabe pärast, mida ettevõte oma haavatavust avaldades avaldab. Alates novembrist 2020 on Microsoft kasutanud CVSS-i (Common Vulnerability Scoring System) raamistikku, et kirjeldage turvavärskenduste juhendis haavatavusi. Kirjeldused hõlmavad selliseid atribuute nagu ründe vektor, rünnaku keerukus ja ründaja õigused. Värskendused annavad ka hinde, et edastada raskusastme edetabel.
Mõned on aga kirjeldanud värskendusi kui salapäraseid ja neil puudub kriitiline teave kasutatavate komponentide või nende kasutamise kohta. Nad on märkinud, et Microsofti praegune tava paigutada haavatavused gruppi "Kasutamine tõenäolisemalt" või "Vähem tõenäoline ärakasutamine" ei anna piisavalt teavet riskipõhiste prioriteetide määramise otsuste tegemiseks.
Viimasel ajal on Microsofti kriitika osaliseks saanud ka väidetava läbipaistvuse puudumise pärast pilveturbe haavatavuste osas. Juunis süüdistas Tenable'i tegevjuht Amit Yoran ettevõtet selles "Vaikselt" parandades paar Azure'i turvaauku mille Tenable'i teadlased olid avastanud ja teatanud.
"Mõlemat turvaauku said ära kasutada kõik, kes kasutasid teenust Azure Synapse," kirjutas Yoran. "Pärast olukorra hindamist otsustas Microsoft ühe probleemi vaikselt lappida, vähendades riski," ja kliente sellest teavitamata.
Yoran osutas teistele tarnijatele – nagu Orca Security ja Wiz –, kes olid pärast Azure'i haavatavuste Microsoftile avaldamist kokku puutunud sarnaste probleemidega.
Kooskõlas MITRE CVE poliitikaga
Gupta ütleb, et Microsofti otsus CVE väljastamise kohta haavatavuse kohta on kooskõlas MITRE CVE programmi põhimõtetega.
"Nende poliitika kohaselt ei pea me CVE-d väljastama, kui kliendil pole vaja midagi ette võtta, " ütleb ta. "Eesmärk on hoida organisatsioonide mürataset madalal ja mitte koormata neid teabega, millega nad vähe hakkama saavad."
"Te ei pea teadma 50 asja, mida Microsoft teeb, et asju igapäevaselt turvaliselt hoida," märgib ta.
Gupta viitab eelmisel aastal Wizi avalikustatud neljale kriitilisele haavatavusele Avatud haldusinfrastruktuuri (OMI) komponent Azure'is näide sellest, kuidas Microsoft tegeleb olukordadega, kus pilve haavatavus võib kliente mõjutada. Sellises olukorras oli Microsofti strateegia võtta otse ühendust mõjutatud organisatsioonidega.
"Me saadame klientidele üks-ühele teatisi, sest me ei taha, et see teave kaoks," ütleb ta: "Väljastame CVE, kuid saadame ka klientidele teatise, sest kui see on keskkonnas et vastutate lapimise eest, soovitame teil see kiiresti paika panna.
Mõnikord võib organisatsioon küsida, miks neid probleemist ei teavitatud – see on tõenäoliselt seetõttu, et neid see ei mõjuta, ütleb Gupta.
