کلاه سیاه آمریکا - لاس وگاس - یکی از مدیران ارشد امنیتی مایکروسافت امروز از سیاستهای افشای آسیبپذیری این شرکت دفاع کرد، زیرا اطلاعات کافی برای تیمهای امنیتی فراهم میکند تا تصمیمات اصلاحی آگاهانه را اتخاذ کنند، بدون اینکه آنها را در معرض خطر حمله عوامل تهدید قرار دهد که به دنبال مهندسی معکوس سریع وصلهها برای بهرهبرداری هستند. .
در گفتگو با Dark Reading در Black Hat USA، معاون شرکتی مرکز پاسخگویی امنیتی مایکروسافت، Aanchal Gupta، گفت که این شرکت آگاهانه تصمیم گرفته است اطلاعاتی را که در ابتدا با CVE های خود ارائه می دهد محدود کند تا از کاربران محافظت کند. در حالی که CVE های مایکروسافت اطلاعاتی را در مورد شدت باگ و احتمال سوء استفاده از آن (و اینکه آیا به طور فعال مورد سوء استفاده قرار می گیرد یا خیر) ارائه می دهند، این شرکت در مورد نحوه انتشار اطلاعات سوء استفاده از آسیب پذیری عاقلانه عمل خواهد کرد.
گوپتا میگوید، برای اکثر آسیبپذیریها، رویکرد فعلی مایکروسافت این است که قبل از پر کردن CVE با جزئیات بیشتر در مورد آسیبپذیری و قابلیت بهرهبرداری، یک پنجره 30 روزه از افشای وصله ارائه کند. او می گوید که هدف این است که به اداره های امنیتی زمان کافی برای اعمال وصله بدون به خطر انداختن آنها داده شود. گوپتا میگوید: «اگر در CVE خود، تمام جزئیات مربوط به نحوه استفاده از آسیبپذیریها را ارائه دهیم، مشتریان خود را روز صفر خواهیم کرد.
اطلاعات آسیب پذیری پراکنده؟
مایکروسافت - به عنوان دیگر فروشندگان بزرگ نرم افزار - به دلیل اطلاعات نسبتاً کمی که شرکت با افشای آسیب پذیری های خود منتشر می کند، با انتقاد محققان امنیتی روبرو شده است. از نوامبر 2020، مایکروسافت از چارچوب سیستم امتیازدهی آسیب پذیری مشترک (CVSS) استفاده کرده است. آسیب پذیری ها را در راهنمای به روز رسانی امنیتی آن شرح دهد. توضیحات شامل ویژگی هایی مانند بردار حمله، پیچیدگی حمله، و نوع امتیازاتی است که یک مهاجم ممکن است داشته باشد. بهروزرسانیها همچنین امتیازی را برای انتقال رتبهبندی شدت ارائه میکنند.
با این حال، برخی بهروزرسانیها را رمزآلود و فاقد اطلاعات حیاتی در مورد مؤلفههای مورد سوء استفاده یا نحوه بهرهبرداری از آنها توصیف کردهاند. آنها اشاره کردهاند که رویه فعلی مایکروسافت برای قرار دادن آسیبپذیریها در یک سطل «Exploitation More Rekely» یا «Exploitation Less Rekely» اطلاعات کافی برای تصمیمگیری اولویتبندی مبتنی بر ریسک ارائه نمیکند.
اخیراً، مایکروسافت به دلیل عدم شفافیت ادعایی خود در مورد آسیب پذیری های امنیتی ابری نیز با انتقاداتی مواجه شده است. در ماه ژوئن، آمیت یوران، مدیر عامل Tenable، این شرکت را متهم کرد وصله «بیصدا» چند آسیبپذیری Azure که محققان تنبل کشف و گزارش کرده بودند.
Yoran نوشت: «هر دوی این آسیبپذیریها توسط هر کسی که از سرویس Azure Synapse استفاده میکرد، قابل بهرهبرداری بود. "پس از ارزیابی وضعیت، مایکروسافت تصمیم گرفت در سکوت یکی از مشکلات را برطرف کند و خطر را کم اهمیت جلوه دهد" و بدون اطلاع مشتریان.
Yoran به فروشندگان دیگری مانند Orca Security و Wiz اشاره کرد که پس از افشای آسیبپذیریهای Azure برای مایکروسافت، با مشکلات مشابهی مواجه شدند.
مطابق با سیاست های CVE MITRE
گوپتا می گوید تصمیم مایکروسافت در مورد صدور CVE برای یک آسیب پذیری با سیاست های برنامه CVE MITRE مطابقت دارد.
او میگوید: «طبق خطمشی آنها، اگر نیازی به اقدام مشتری نباشد، ما ملزم به صدور CVE نیستیم. "هدف این است که سطح سر و صدا را برای سازمان ها پایین نگه داریم و آنها را با اطلاعاتی که نمی توانند با آنها انجام دهند سنگین نکنیم."
او خاطرنشان می کند: «نیازی نیست ۵۰ کاری که مایکروسافت انجام می دهد تا همه چیز را به صورت روزانه ایمن نگه دارد، بدانید.
گوپتا به افشای چهار آسیب پذیری حیاتی در سال گذشته توسط Wiz اشاره می کند جزء زیرساخت مدیریت باز (OMI) در Azure به عنوان مثالی از نحوه برخورد مایکروسافت با شرایطی که یک آسیب پذیری ابری ممکن است بر مشتریان تأثیر بگذارد. در آن شرایط، استراتژی مایکروسافت تماس مستقیم با سازمان هایی بود که تحت تأثیر قرار می گیرند.
او میگوید: «کاری که ما انجام میدهیم این است که اعلانهای یک به یک را برای مشتریان ارسال میکنیم، زیرا نمیخواهیم این اطلاعات از بین بروند. که شما مسئول وصله کردن هستید، توصیه می کنیم سریع آن را وصله کنید.
گوپتا میگوید: گاهی اوقات ممکن است یک سازمان تعجب کند که چرا از یک موضوع مطلع نشده است - احتمالاً به این دلیل است که آنها تحت تأثیر قرار نگرفتهاند.