Patch Madness: myyjän virheilmoitukset ovat rikki, niin rikki

BLACK HAT USA – Las Vegas – Suojaushaavoittuvuuksien korjauksen pysyminen on parhaimmillaankin haastavaa, mutta virheiden priorisoimisesta on tullut vaikeampaa kuin koskaan aiemmin kontekstipuutteiden CVSS-pisteiden, mutaisten toimittajan neuvojen ja epätäydellisten korjausten ansiosta. jättää järjestelmänvalvojille väärän turvallisuuden tunteen.

Tämä on argumentti, jonka Brian Gorenc ja Dustin Childs, molemmat Trend Micron Zero Day Initiativen (ZDI) kanssa, esittivät Black Hat USA:n lavalta istunnon aikana.Riskien laskeminen epäselvyyden aikakaudella: Lukeminen turvaohjeiden rivien välistä"

ZDI on paljastanut yli 10,000 2005 haavoittuvuutta toimittajille eri puolilla alaa vuodesta XNUMX lähtien. Tänä aikana ZDI:n viestintäpäällikkö Childs sanoi huomaneensa häiritsevän trendin, joka on korjaustiedoston laadun heikkeneminen ja tietoturvapäivityksiin liittyvän viestinnän väheneminen.

"Todellinen ongelma syntyy, kun toimittajat julkaisevat viallisia korjaustiedostoja tai epätarkkoja ja epätäydellisiä tietoja korjauksista, jotka voivat saada yritykset laskemaan riskinsä väärin", hän huomautti. "Vialliset korjaustiedostot voivat myös olla siunaus kirjoittajien hyväksikäytössä, koska "n-päivät" ovat paljon helpompia käyttää kuin nollapäivät."

Ongelma CVSS-pisteiden ja korjausprioriteettien kanssa

Suurin osa kyberturvatiimeistä on alihenkilöstöä ja paineita, eikä käsky "Pidä kaikki ohjelmistoversiot aina ajan tasalla" ei aina ole järkevä osastoille, joilla ei yksinkertaisesti ole resursseja kattaa ranta-alue. Tästä syystä lisättävien korjaustiedostojen priorisoimisesta niiden vakavuusluokituksen mukaan Common Vulnerability Severity Scale (CVSS) -asteikossa on tullut monille järjestelmänvalvojille varavaihtoehto.

Childs huomautti kuitenkin, että tämä lähestymistapa on syvästi puutteellinen ja voi johtaa siihen, että resursseja käytetään virheisiin, joita ei todennäköisesti koskaan hyödynnetä. Tämä johtuu siitä, että on olemassa monia tärkeitä tietoja, joita CVSS-pisteet eivät tarjoa.

"Liian usein yritykset etsivät CVSS:n perusydintä määrittäessään paikkausprioriteetin", hän sanoi. "Mutta CVSS ei todellakaan tarkastele hyödynnettävyyttä tai sitä, käytetäänkö haavoittuvuutta luonnossa. CVSS ei kerro, onko vika 15 järjestelmässä vai 15 miljoonassa järjestelmässä. Eikä se kerro, onko se julkisesti saatavilla olevilla palvelimilla vai ei."

Hän lisäsi: "Ja mikä tärkeintä, se ei kerro, onko vika järjestelmässä, joka on kriittinen yrityksellesi."

Siten, vaikka bugi saattaisikin saada kriittisen arvosanan 10/10 CVSS-asteikolla, sen todellinen vaikutus voi olla paljon vähemmän huolestuttava kuin tämä kriittinen merkintä antaisi.

"Todentamaton etäkoodin suoritus (RCE) -virhe sähköpostipalvelimessa, kuten Microsoft Exchange, tulee herättämään paljon kiinnostusta hyväksikäyttökirjoittajilta", hän sanoi. "Todentamaton RCE-virhe sähköpostipalvelimessa, kuten Squirrel Mail, ei todennäköisesti herätä niin paljon huomiota."

Täyttääkseen kontekstuaaliset aukot turvallisuustiimit kääntyvät usein myyjien neuvojen puoleen – joilla, Childs huomautti, on oma räikeä ongelmansa: he harjoittavat usein turvallisuutta epäselvyyden kautta.

Microsoft Patch Tuesday Advisories puuttuu yksityiskohdista

Vuonna 2021 Microsoft teki päätöksen poistamaan yhteenvedot
tietoturvapäivitysoppaista, sen sijaan kertomalla käyttäjille, että CVSS-pisteet riittäisivät priorisoimiseen – muutos, jonka Childs räjähti.

"Muutos poistaa kontekstin, jota tarvitaan riskin määrittämiseen", hän sanoi. "Esimerkiksi tyhjentääkö tietojen paljastamisvirhe satunnaisen muistin tai henkilökohtaisia ​​tunnistetietoja? Tai mitä ohitetaan suojausominaisuuksien ohituksessa? Näissä kirjoituksissa olevat tiedot ovat epäjohdonmukaisia ​​ja laadultaan vaihtelevia huolimatta siitä, että muutosta arvostellaan lähes kaikkialla."

Sen lisäksi, että Microsoft joko "poisti tai peitti tiedot päivityksistä, jotka aiemmin tuottivat selkeitä ohjeita", on nyt myös vaikeampaa määrittää korjauspäivitystiistain perustiedot, kuten kuinka monta bugia korjataan kuukausittain.

"Nyt sinun täytyy laskea itse, ja se on itse asiassa yksi vaikeimmista asioista, joita teen", Childs huomautti.

Myös tieto siitä, kuinka monta haavoittuvuutta on aktiivisen hyökkäyksen kohteena tai julkisesti tiedossa, on edelleen saatavilla, mutta se on nyt haudattu tiedotteisiin.

"Esimerkiksi kanssa 121 CVE:tä korjataan tässä kuussa, on jotenkin vaikeaa kaivaa niitä kaikkia läpi etsiäkseen, mitkä ovat aktiivisen hyökkäyksen kohteena”, Childs sanoi. "Sen sijaan ihmiset luottavat nyt muihin tietolähteisiin, kuten blogeihin ja lehdistöartikkeleihin, sen sijaan, että ne voivat olla toimittajan arvovaltaisia ​​tietoja riskin määrittämiseksi."

On huomattava, että Microsoft on kaksinkertaistunut muutoksessa. Black Hat USA:n Dark Readingin kanssa käydyssä keskustelussa Microsoftin Security Response Centerin varapuheenjohtaja Aanchal Gupta sanoi, että yritys on tietoisesti päättänyt rajoittaa alun perin CVE:illään tarjoamiaan tietoja käyttäjien suojelemiseksi. Vaikka Microsoftin CVE:t tarjoavat tietoa vian vakavuudesta ja sen hyödyntämisen todennäköisyydestä (ja siitä, käytetäänkö sitä aktiivisesti), yritys on harkitsevainen sen suhteen, kuinka se julkaisee haavoittuvuuden hyväksikäyttötietoja, hän sanoi.

Tavoitteena on antaa turvahallinnoille tarpeeksi aikaa asentaa korjaustiedosto vaarantamatta niitä, Gupta sanoi. "Jos annoimme CVE:ssämme kaikki yksityiskohdat siitä, kuinka haavoittuvuuksia voidaan hyödyntää, olemme nollapäiväisiä asiakkaitamme", hän sanoi.

Muut toimittajat harjoittavat epäselvyyttä

Microsoft tuskin on yksin tarjoamassa niukkoja yksityiskohtia virheilmoituksista. Childs sanoi, että monet toimittajat eivät toimita CVE:itä ollenkaan, kun he julkaisevat päivityksen.

"He vain sanovat, että päivitys korjaa useita tietoturvaongelmia", hän selitti. "Kuinka monta? Mikä on vakavuus? Mikä on hyödynnettävyys? Meillä oli äskettäin jopa myyjä, joka sanoi meille nimenomaan, että emme julkaise julkisia neuvoja turvallisuusasioista. Se on rohkea liike."

Lisäksi jotkut toimittajat asettavat neuvoja maksumuurin tai tukisopimusten taakse, mikä peittää riskinsä entisestään. Tai ne yhdistävät useita virheraportteja yhdeksi CVE:ksi huolimatta yleisestä käsityksestä, että CVE edustaa yhtä ainutlaatuista haavoittuvuutta.

"Tämä johtaa mahdollisesti riskilaskelman vääristymiseen", hän sanoi. ”Jos esimerkiksi katsot tuotteen ostoa ja näet 10 CVE:tä, jotka on korjattu tietyn ajan kuluessa, saatat tehdä yhden johtopäätöksen tämän uuden tuotteen riskeistä. Jos kuitenkin tietäisit, että nämä 10 CVE:tä perustuvat yli 100 virheraporttiin, saatat tehdä toisenlaisen johtopäätöksen."

Placebo korjaa ruttopriorisoinnin

Tietojen paljastamisongelman lisäksi turvallisuustiimeillä on myös ongelmia itse korjaustiedostojen kanssa. "Placebo-korjaukset", jotka ovat "korjauksia", jotka eivät itse asiassa tee tehokkaita koodimuutoksia, eivät ole harvinaisia ​​Childin mukaan.

"Joten tuo bugi on edelleen olemassa ja uhkatoimijoiden hyödynnettävissä, paitsi nyt heille on kerrottu siitä", hän sanoi. "On monia syitä, miksi näin voi tapahtua, mutta se tapahtuu – bugit ovat niin mukavia, että korjaamme ne kahdesti."

Usein on myös epätäydellisiä korjaustiedostoja; Itse asiassa ZDI-ohjelmassa täydet 10–20 % tutkijoiden analysoimista vioista on suoraan seurausta viallisesta tai puutteellisesta korjaustiedostosta.

Childs käytti esimerkkiä kokonaislukujen ylivuotoongelmasta Adobe Readerissa, mikä johti alimittaiseen keon varaukseen, mikä johtaa puskurin ylivuotoon, kun siihen kirjoitetaan liikaa dataa.

"Odotimme Adoben tekevän korjauksen asettamalla minkä tahansa tietyn pisteen ylittävän arvon huonoksi", Childs sanoi. "Mutta emme nähneet sitä, ja 60 minuutin sisällä käyttöönotosta tapahtui päivityksen ohitus, ja heidän oli korjattava uudelleen. Uudelleentoistot eivät ole vain TV-ohjelmia varten."

Kuinka torjua korjaustiedostojen priorisointiongelmia

Viime kädessä korjaustiedostojen priorisoinnissa tehokas korjaustiedostojen hallinta ja riskien laskeminen tiivistyvät arvokkaiden ohjelmistokohteiden tunnistamiseen organisaation sisällä sekä kolmannen osapuolen lähteiden käytön rajoittamiseen, mitkä korjaustiedostot olisivat tärkeimmät missä tahansa ympäristössä. tutkijat huomauttivat.

Julkistamisen jälkeinen ketteryys on kuitenkin toinen keskeinen alue, johon organisaatiot voivat keskittyä.

ZDI:n vanhemman johtajan Gorencin mukaan verkkorikolliset eivät tuhlaa aikaa integroidakseen suuria hyökkäyspintoja sisältäviä haavoittuvuuksia kiristyshaittaohjelmiensa työkalusarjoihinsa tai hyväksikäyttöpakkauksiinsa ja pyrkivät asettamaan äskettäin paljastuneet puutteet ennen kuin yritykset ehtivät korjata. Nämä niin sanotut n-päivän virheet ovat kissanminttu hyökkääjille, jotka pystyvät keskimäärin korjaamaan vian jopa 48 tunnissa.

"Enimmäkseen hyökkäävä yhteisö käyttää n-päivän haavoittuvuuksia, joissa on julkisia korjaustiedostoja", Gorenc sanoi. "Meidän on tärkeää ymmärtää paljastamisen yhteydessä, onko vika todella asetettu, mutta useimmat myyjät eivät anna tietoja hyödynnettävyydestä."

Yritysten riskiarviointien on siis oltava riittävän dynaamisia, jotta ne voivat muuttua paljastamisen jälkeen, ja tietoturvatiimien tulee tarkkailla uhkien tiedustelulähteitä ymmärtääkseen, milloin virhe on integroitu hyväksikäyttöpakkaukseen tai kiristysohjelmiin tai milloin hyväksikäyttö julkaistaan ​​verkossa.

Tämän lisäksi yritysten kannalta tärkeä aikajana on se, kuinka kauan korjaustiedoston käyttöönotto koko organisaatiossa kestää ja onko olemassa hätäresursseja, jotka voidaan tarvittaessa ottaa käyttöön.

"Kun uhkaympäristössä tapahtuu muutoksia (korjauspäivitykset, julkinen käsitteiden tarkistus ja hyödyntämisjulkaisut), yritysten tulisi siirtää resurssejaan vastaamaan tarpeisiin ja torjumaan uusimpia riskejä", Gorenc selitti. "Ei vain viimeisin julkistettu ja nimetty haavoittuvuus. Tarkkaile, mitä uhkakuvassa tapahtuu, suuntaa resurssit ja päätä, milloin toimit.”