مایکروسافت: ما نمی خواهیم مشتریان خود را روز صفر کنیم

کلاه سیاه آمریکا - لاس وگاس - یکی از مدیران ارشد امنیتی مایکروسافت امروز از سیاست‌های افشای آسیب‌پذیری این شرکت دفاع کرد، زیرا اطلاعات کافی برای تیم‌های امنیتی فراهم می‌کند تا تصمیمات اصلاحی آگاهانه را اتخاذ کنند، بدون اینکه آنها را در معرض خطر حمله عوامل تهدید قرار دهد که به دنبال مهندسی معکوس سریع وصله‌ها برای بهره‌برداری هستند. .

در گفتگو با Dark Reading در Black Hat USA، معاون شرکتی مرکز پاسخگویی امنیتی مایکروسافت، Aanchal Gupta، گفت که این شرکت آگاهانه تصمیم گرفته است اطلاعاتی را که در ابتدا با CVE های خود ارائه می دهد محدود کند تا از کاربران محافظت کند. در حالی که CVE های مایکروسافت اطلاعاتی را در مورد شدت باگ و احتمال سوء استفاده از آن (و اینکه آیا به طور فعال مورد سوء استفاده قرار می گیرد یا خیر) ارائه می دهند، این شرکت در مورد نحوه انتشار اطلاعات سوء استفاده از آسیب پذیری عاقلانه عمل خواهد کرد.

گوپتا می‌گوید، برای اکثر آسیب‌پذیری‌ها، رویکرد فعلی مایکروسافت این است که قبل از پر کردن CVE با جزئیات بیشتر در مورد آسیب‌پذیری و قابلیت بهره‌برداری، یک پنجره 30 روزه از افشای وصله ارائه کند. او می گوید که هدف این است که به اداره های امنیتی زمان کافی برای اعمال وصله بدون به خطر انداختن آنها داده شود. گوپتا می‌گوید: «اگر در CVE خود، تمام جزئیات مربوط به نحوه استفاده از آسیب‌پذیری‌ها را ارائه دهیم، مشتریان خود را روز صفر خواهیم کرد.

اطلاعات آسیب پذیری پراکنده؟

مایکروسافت - به عنوان دیگر فروشندگان بزرگ نرم افزار - به دلیل اطلاعات نسبتاً کمی که شرکت با افشای آسیب پذیری های خود منتشر می کند، با انتقاد محققان امنیتی روبرو شده است. از نوامبر 2020، مایکروسافت از چارچوب سیستم امتیازدهی آسیب پذیری مشترک (CVSS) استفاده کرده است. آسیب پذیری ها را در راهنمای به روز رسانی امنیتی آن شرح دهد. توضیحات شامل ویژگی هایی مانند بردار حمله، پیچیدگی حمله، و نوع امتیازاتی است که یک مهاجم ممکن است داشته باشد. به‌روزرسانی‌ها همچنین امتیازی را برای انتقال رتبه‌بندی شدت ارائه می‌کنند.

با این حال، برخی به‌روزرسانی‌ها را رمزآلود و فاقد اطلاعات حیاتی در مورد مؤلفه‌های مورد سوء استفاده یا نحوه بهره‌برداری از آنها توصیف کرده‌اند. آنها اشاره کرده‌اند که رویه فعلی مایکروسافت برای قرار دادن آسیب‌پذیری‌ها در یک سطل «Exploitation More Rekely» یا «Exploitation Less Rekely» اطلاعات کافی برای تصمیم‌گیری اولویت‌بندی مبتنی بر ریسک ارائه نمی‌کند.

اخیراً، مایکروسافت به دلیل عدم شفافیت ادعایی خود در مورد آسیب پذیری های امنیتی ابری نیز با انتقاداتی مواجه شده است. در ماه ژوئن، آمیت یوران، مدیر عامل Tenable، این شرکت را متهم کرد وصله «بی‌صدا» چند آسیب‌پذیری Azure که محققان تنبل کشف و گزارش کرده بودند.

Yoran نوشت: «هر دوی این آسیب‌پذیری‌ها توسط هر کسی که از سرویس Azure Synapse استفاده می‌کرد، قابل بهره‌برداری بود. "پس از ارزیابی وضعیت، مایکروسافت تصمیم گرفت در سکوت یکی از مشکلات را برطرف کند و خطر را کم اهمیت جلوه دهد" و بدون اطلاع مشتریان.

Yoran به فروشندگان دیگری مانند Orca Security و Wiz اشاره کرد که پس از افشای آسیب‌پذیری‌های Azure برای مایکروسافت، با مشکلات مشابهی مواجه شدند.

مطابق با سیاست های CVE MITRE

گوپتا می گوید تصمیم مایکروسافت در مورد صدور CVE برای یک آسیب پذیری با سیاست های برنامه CVE MITRE مطابقت دارد.

او می‌گوید: «طبق خط‌مشی آنها، اگر نیازی به اقدام مشتری نباشد، ما ملزم به صدور CVE نیستیم. "هدف این است که سطح سر و صدا را برای سازمان ها پایین نگه داریم و آنها را با اطلاعاتی که نمی توانند با آنها انجام دهند سنگین نکنیم."

او خاطرنشان می کند: «نیازی نیست ۵۰ کاری که مایکروسافت انجام می دهد تا همه چیز را به صورت روزانه ایمن نگه دارد، بدانید.

گوپتا به افشای چهار آسیب پذیری حیاتی در سال گذشته توسط Wiz اشاره می کند جزء زیرساخت مدیریت باز (OMI) در Azure به عنوان مثالی از نحوه برخورد مایکروسافت با شرایطی که یک آسیب پذیری ابری ممکن است بر مشتریان تأثیر بگذارد. در آن شرایط، استراتژی مایکروسافت تماس مستقیم با سازمان هایی بود که تحت تأثیر قرار می گیرند.

او می‌گوید: «کاری که ما انجام می‌دهیم این است که اعلان‌های یک به یک را برای مشتریان ارسال می‌کنیم، زیرا نمی‌خواهیم این اطلاعات از بین بروند. که شما مسئول وصله کردن هستید، توصیه می کنیم سریع آن را وصله کنید.

گوپتا می‌گوید: گاهی اوقات ممکن است یک سازمان تعجب کند که چرا از یک موضوع مطلع نشده است - احتمالاً به این دلیل است که آنها تحت تأثیر قرار نگرفته‌اند.