BLACK HAT USA - Las Vegas - Suivre les correctifs de vulnérabilité de sécurité est au mieux difficile, mais hiérarchiser les bogues sur lesquels se concentrer est devenu plus difficile que jamais, grâce à des scores CVSS sans contexte, des avis de fournisseurs flous et des correctifs incomplets qui laisser les administrateurs avec un faux sentiment de sécurité.
C'est l'argument que Brian Gorenc et Dustin Childs, tous deux de la Zero Day Initiative (ZDI) de Trend Micro, ont fait valoir depuis la scène de Black Hat USA lors de leur session, «Calculer le risque à l'ère de l'obscurité : lire entre les lignes des avis de sécurité. »
ZDI a divulgué plus de 10,000 2005 vulnérabilités aux fournisseurs de l'industrie depuis XNUMX. Au cours de cette période, le responsable des communications de ZDI, Childs, a déclaré avoir remarqué une tendance inquiétante, à savoir une diminution de la qualité des correctifs et une réduction des communications entourant les mises à jour de sécurité.
"Le vrai problème survient lorsque les fournisseurs publient des correctifs défectueux ou des informations inexactes et incomplètes sur ces correctifs qui peuvent amener les entreprises à mal calculer leur risque", a-t-il noté. "Les correctifs défectueux peuvent également être une aubaine pour exploiter les auteurs, car les 'n-days' sont beaucoup plus faciles à utiliser que les zero-days."
Le problème avec les scores CVSS et la priorité des correctifs
La plupart des équipes de cybersécurité sont en sous-effectif et sous pression, et le mantra «Toujours garder toutes les versions logicielles à jour» n'a pas toujours de sens pour les départements qui n'ont tout simplement pas les ressources nécessaires pour couvrir le front de mer. C'est pourquoi la hiérarchisation des correctifs à appliquer en fonction de leur indice de gravité dans l'échelle CVSS (Common Vulnerability Severity Scale) est devenue une solution de repli pour de nombreux administrateurs.
Childs a noté, cependant, que cette approche est profondément défectueuse et peut conduire à dépenser des ressources sur des bogues qui ne seront probablement jamais exploités. C'est parce qu'il existe une multitude d'informations critiques que le score CVSS ne fournit pas.
"Trop souvent, les entreprises ne regardent pas plus loin que le noyau de base CVSS pour déterminer la priorité des correctifs", a-t-il déclaré. « Mais le CVSS ne regarde pas vraiment l'exploitabilité, ou si une vulnérabilité est susceptible d'être utilisée dans la nature. Le CVSS ne vous dit pas si le bogue existe dans 15 systèmes ou dans 15 millions de systèmes. Et il ne dit pas s'il se trouve ou non sur des serveurs accessibles au public.
Il a ajouté : "Et surtout, cela ne dit pas si le bogue est présent ou non dans un système qui est essentiel pour votre entreprise spécifique."
Ainsi, même si un bogue peut avoir une note critique de 10 sur 10 sur l'échelle CVSS, son véritable impact peut être beaucoup moins préoccupant que ne l'indique cette étiquette critique.
"Un bogue d'exécution de code à distance non authentifié (RCE) dans un serveur de messagerie comme Microsoft Exchange va susciter beaucoup d'intérêt de la part des auteurs d'exploits", a-t-il déclaré. "Un bogue RCE non authentifié dans un serveur de messagerie comme Squirrel Mail ne va probablement pas générer autant d'attention."
Pour combler les lacunes contextuelles, les équipes de sécurité se tournent souvent vers les avis des fournisseurs - qui, a noté Childs, ont leur propre problème flagrant : ils pratiquent souvent la sécurité dans l'obscurité.
Les avis Microsoft Patch Tuesday manquent de détails
En 2021, Microsoft a pris la décision pour supprimer les résumés analytiques
des guides de mise à jour de sécurité, informant plutôt les utilisateurs que les scores CVSS seraient suffisants pour la hiérarchisation - un changement que Childs a fustigé.
"Le changement supprime le contexte nécessaire pour déterminer le risque", a-t-il déclaré. « Par exemple, un bogue de divulgation d'informations vide-t-il la mémoire aléatoire ou les PII ? Ou pour un contournement de fonction de sécurité, qu'est-ce qui est contourné ? Les informations contenues dans ces rédactions sont incohérentes et de qualité variable, malgré la critique quasi universelle du changement.
En plus du fait que Microsoft "supprime ou masque des informations dans les mises à jour qui produisaient des indications claires", il est également plus difficile de déterminer les informations de base du Patch Tuesday, telles que le nombre de bogues corrigés chaque mois.
"Maintenant, vous devez vous compter, et c'est en fait l'une des choses les plus difficiles que je fais", a noté Childs.
De plus, les informations sur le nombre de vulnérabilités faisant l'objet d'attaques actives ou connues publiquement sont toujours disponibles, mais enfouies dans les bulletins maintenant.
« A titre d'exemple, avec 121 CVE corrigés ce mois-ci, il est assez difficile de les parcourir tous pour rechercher ceux qui sont activement attaqués », a déclaré Childs. "Au lieu de cela, les gens s'appuient désormais sur d'autres sources d'informations comme les blogs et les articles de presse, plutôt que sur ce qui devrait être des informations faisant autorité du fournisseur pour aider à déterminer le risque."
Il convient de noter que Microsoft a doublé sur le changement. Lors d'une conversation avec Dark Reading chez Black Hat USA, le vice-président du centre de réponse de sécurité de Microsoft, Aanchal Gupta, a déclaré que la société avait consciemment décidé de limiter les informations qu'elle fournit initialement avec ses CVE pour protéger les utilisateurs. Bien que les CVE de Microsoft fournissent des informations sur la gravité du bogue et la probabilité qu'il soit exploité (et s'il est activement exploité), la société sera judicieuse quant à la manière dont elle publiera les informations sur l'exploitation des vulnérabilités, a-t-elle déclaré.
L'objectif est de donner aux administrations de sécurité suffisamment de temps pour appliquer le correctif sans les mettre en danger, a déclaré Gupta. "Si, dans notre CVE, nous avons fourni tous les détails sur la façon dont les vulnérabilités peuvent être exploitées, nous rendrons nos clients zero-day", a-t-elle déclaré.
D'autres vendeurs pratiquent l'obscurité
Microsoft n'est pas le seul à fournir peu de détails dans les divulgations de bogues. Childs a déclaré que de nombreux fournisseurs ne fournissent pas du tout de CVE lorsqu'ils publient une mise à jour.
"Ils disent simplement que la mise à jour corrige plusieurs problèmes de sécurité", a-t-il expliqué. "Combien? Quelle est la gravité ? Quelle est l'exploitabilité ? Un fournisseur nous a même récemment dit spécifiquement que nous ne publions pas d'avis publics sur les problèmes de sécurité. C'est une décision audacieuse.
En outre, certains fournisseurs placent des avis derrière des murs de paiement ou des contrats de support, ce qui obscurcit davantage leur risque. Ou bien, ils combinent plusieurs rapports de bogues en un seul CVE, malgré la perception courante selon laquelle un CVE représente une seule vulnérabilité unique.
"Cela conduit éventuellement à fausser votre calcul de risque", a-t-il déclaré. « Par exemple, si vous envisagez d'acheter un produit et que vous voyez 10 CVE qui ont été corrigés dans un certain laps de temps, vous pouvez arriver à une conclusion sur le risque de ce nouveau produit. Cependant, si vous saviez que ces 10 CVE étaient basés sur plus de 100 rapports de bogues, vous pourriez arriver à une conclusion différente.
Placebo Patches Peste Priorisation
Au-delà du problème de divulgation, les équipes de sécurité sont également confrontées à des problèmes avec les correctifs eux-mêmes. Les « patchs placebo », qui sont des « correctifs » qui n'apportent en fait aucun changement de code efficace, ne sont pas rares, selon Childs.
"Donc, ce bogue est toujours là et exploitable pour les acteurs de la menace, sauf que maintenant ils en ont été informés", a-t-il déclaré. "Il y a plusieurs raisons pour lesquelles cela pourrait arriver, mais ça arrive – des bugs si gentils que nous les corrigeons deux fois.
Il y a aussi souvent des patchs incomplets ; en fait, dans le programme ZDI, 10 à 20 % des bogues analysés par les chercheurs sont le résultat direct d'un correctif défectueux ou incomplet.
Childs a utilisé l'exemple d'un problème de dépassement d'entier dans Adobe Reader entraînant une allocation de tas sous-dimensionnée, ce qui entraîne un débordement de mémoire tampon lorsque trop de données y sont écrites.
"Nous nous attendions à ce qu'Adobe corrige en définissant toute valeur supérieure à un certain point comme étant mauvaise", a déclaré Childs. "Mais ce n'est pas ce que nous avons vu, et dans les 60 minutes suivant le déploiement, il y a eu un contournement de patch et ils ont dû patcher à nouveau. Les rediffusions ne sont pas réservées aux émissions de télévision.
Comment combattre les problèmes de priorisation des correctifs
En fin de compte, en ce qui concerne la hiérarchisation des correctifs, une gestion efficace des correctifs et un calcul des risques se résument à l'identification de cibles logicielles de grande valeur au sein de l'organisation ainsi qu'à l'utilisation de sources tierces pour affiner les correctifs qui seraient les plus importants pour un environnement donné, le ont noté les chercheurs.
Cependant, la question de l'agilité post-divulgation est un autre domaine clé sur lequel les organisations doivent se concentrer.
Selon Gorenc, directeur principal de ZDI, les cybercriminels ne perdent pas de temps à intégrer des vulnérabilités avec de grandes surfaces d'attaque dans leurs ensembles d'outils de ransomware ou leurs kits d'exploitation, cherchant à militariser les failles nouvellement révélées avant que les entreprises n'aient le temps de corriger. Ces soi-disant bugs du jour n sont de l'herbe à chat pour les attaquants, qui peuvent en moyenne rétroconcevoir un bogue en aussi peu que 48 heures.
"Pour la plupart, la communauté offensive utilise des vulnérabilités n-day qui ont des correctifs publics disponibles", a déclaré Gorenc. "Il est important pour nous de comprendre dès la divulgation si un bogue va réellement être militarisé, mais la plupart des fournisseurs ne fournissent pas d'informations concernant l'exploitabilité."
Ainsi, les évaluations des risques d'entreprise doivent être suffisamment dynamiques pour changer après la divulgation, et les équipes de sécurité doivent surveiller les sources de renseignements sur les menaces pour comprendre quand un bogue est intégré dans un kit d'exploit ou un ransomware, ou quand un exploit est publié en ligne.
Parallèlement à cela, un calendrier important que les entreprises doivent prendre en compte est le temps qu'il faut pour déployer réellement un correctif dans l'ensemble de l'organisation et s'il existe des ressources d'urgence qui peuvent être mobilisées si nécessaire.
"Lorsque des changements surviennent dans le paysage des menaces (révisions de correctifs, preuves de concepts publiques et versions d'exploits), les entreprises doivent déplacer leurs ressources pour répondre au besoin et lutter contre les derniers risques", a expliqué Gorenc. « Pas seulement la dernière vulnérabilité annoncée et nommée. Observez ce qui se passe dans le paysage des menaces, orientez vos ressources et décidez quand agir.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
