BLACK HAT USA - Las Vegas - Un haut responsable de la sécurité de Microsoft a défendu aujourd'hui les politiques de divulgation des vulnérabilités de l'entreprise comme fournissant suffisamment d'informations aux équipes de sécurité pour prendre des décisions éclairées en matière de correctifs sans les exposer à un risque d'attaque de la part d'acteurs malveillants cherchant à désosser rapidement les correctifs à des fins d'exploitation. .
Lors d'une conversation avec Dark Reading chez Black Hat USA, le vice-président du centre de réponse de sécurité de Microsoft, Aanchal Gupta, a déclaré que la société avait consciemment décidé de limiter les informations qu'elle fournit initialement avec ses CVE pour protéger les utilisateurs. Bien que les CVE de Microsoft fournissent des informations sur la gravité du bogue et la probabilité qu'il soit exploité (et s'il est activement exploité), l'entreprise sera judicieuse quant à la manière dont elle publie les informations sur l'exploitation des vulnérabilités.
Pour la plupart des vulnérabilités, l'approche actuelle de Microsoft consiste à accorder une fenêtre de 30 jours à compter de la divulgation du correctif avant de remplir le CVE avec plus de détails sur la vulnérabilité et son exploitabilité, explique Gupta. L'objectif est de donner aux administrations de sécurité suffisamment de temps pour appliquer le correctif sans les mettre en danger, dit-elle. "Si, dans notre CVE, nous avons fourni tous les détails sur la façon dont les vulnérabilités peuvent être exploitées, nous rendrons nos clients zero-day", déclare Gupta.
Informations de vulnérabilité rares ?
Microsoft - comme d'autres grands éditeurs de logiciels - a fait l'objet de critiques de la part des chercheurs en sécurité pour les informations relativement rares que l'entreprise publie avec ses divulgations de vulnérabilités. Depuis novembre 2020, Microsoft utilise le framework CVSS (Common Vulnerability Scoring System) pour décrire les vulnérabilités dans son guide de mise à jour de sécurité. Les descriptions couvrent des attributs tels que le vecteur d'attaque, la complexité de l'attaque et le type de privilèges qu'un attaquant peut avoir. Les mises à jour fournissent également un score pour transmettre le classement de la gravité.
Cependant, certains ont décrit les mises à jour comme cryptiques et manquant d'informations critiques sur les composants exploités ou sur la manière dont ils pourraient être exploités. Ils ont noté que la pratique actuelle de Microsoft consistant à placer les vulnérabilités dans un compartiment « Exploitation plus probable » ou « Exploitation moins probable » ne fournit pas suffisamment d'informations pour prendre des décisions de hiérarchisation basées sur les risques.
Plus récemment, Microsoft a également fait l'objet de critiques pour son prétendu manque de transparence concernant les vulnérabilités de sécurité du cloud. En juin, le PDG de Tenable, Amit Yoran, a accusé l'entreprise de Correction "silencieuse" de quelques vulnérabilités Azure que les chercheurs de Tenable avaient découvert et rapporté.
"Ces deux vulnérabilités étaient exploitables par toute personne utilisant le service Azure Synapse", a écrit Yoran. "Après avoir évalué la situation, Microsoft a décidé de corriger en silence l'un des problèmes, en minimisant le risque", et sans en informer les clients.
Yoran a pointé du doigt d'autres fournisseurs, tels qu'Orca Security et Wiz, qui avaient rencontré des problèmes similaires après avoir divulgué des vulnérabilités dans Azure à Microsoft.
Conforme aux politiques CVE de MITRE
Gupta affirme que la décision de Microsoft quant à l'opportunité d'émettre un CVE pour une vulnérabilité est conforme aux politiques du programme CVE de MITRE.
"Conformément à leur politique, si aucune action du client n'est nécessaire, nous ne sommes pas tenus d'émettre un CVE", dit-elle. "L'objectif est de réduire le niveau de bruit pour les organisations et de ne pas les surcharger d'informations avec lesquelles elles ne peuvent pas faire grand-chose."
"Vous n'avez pas besoin de connaître les 50 choses que Microsoft fait pour assurer la sécurité au quotidien", note-t-elle.
Gupta souligne la divulgation l'année dernière par Wiz de quatre vulnérabilités critiques dans le Composant Open Management Infrastructure (OMI) dans Azure comme exemple de la manière dont Microsoft gère les situations dans lesquelles une vulnérabilité du cloud peut affecter les clients. Dans cette situation, la stratégie de Microsoft consistait à contacter directement les organisations concernées.
"Ce que nous faisons, c'est envoyer des notifications individuelles aux clients parce que nous ne voulons pas que ces informations se perdent", dit-elle. "Nous émettons un CVE, mais nous envoyons également un avis aux clients car s'il se trouve dans un environnement que vous êtes responsable du patch, nous vous recommandons de le patcher rapidement. »
Parfois, une organisation peut se demander pourquoi elle n'a pas été informée d'un problème - c'est probablement parce qu'elle n'est pas touchée, dit Gupta.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
