ब्लैक हैट यूएसए - लास वेगास - माइक्रोसॉफ्ट के एक शीर्ष सुरक्षा कार्यकारी ने आज कंपनी की भेद्यता प्रकटीकरण नीतियों का बचाव किया क्योंकि सुरक्षा टीमों को सूचित पैचिंग निर्णय लेने के लिए पर्याप्त जानकारी प्रदान करने के लिए उन्हें खतरे वाले अभिनेताओं से हमले के जोखिम में डाले बिना शोषण के लिए जल्दी से रिवर्स-इंजीनियर पैच की तलाश में .
ब्लैक हैट यूएसए में डार्क रीडिंग के साथ बातचीत में, माइक्रोसॉफ्ट के सुरक्षा प्रतिक्रिया केंद्र के कॉर्पोरेट उपाध्यक्ष, आंचल गुप्ता ने कहा कि कंपनी ने जानबूझकर उपयोगकर्ताओं की सुरक्षा के लिए अपने सीवीई के साथ शुरू में प्रदान की जाने वाली जानकारी को सीमित करने का निर्णय लिया है। जबकि Microsoft CVEs बग की गंभीरता के बारे में जानकारी प्रदान करते हैं, और इसके शोषण की संभावना (और क्या इसका सक्रिय रूप से शोषण किया जा रहा है), कंपनी इस बारे में विवेकपूर्ण होगी कि यह भेद्यता शोषण की जानकारी कैसे जारी करती है।
अधिकांश कमजोरियों के लिए, माइक्रोसॉफ्ट का वर्तमान दृष्टिकोण सीवीई में भेद्यता और इसकी शोषण क्षमता के बारे में अधिक विवरण भरने से पहले पैच प्रकटीकरण से 30-दिन की खिड़की देना है, गुप्ता कहते हैं। वह कहती हैं कि लक्ष्य सुरक्षा प्रशासनों को उन्हें ख़तरे में डाले बिना पैच लागू करने के लिए पर्याप्त समय देना है, वह कहती हैं। गुप्ता कहते हैं, "अगर, हमारे सीवीई में, हम सभी विवरण प्रदान करते हैं कि कमजोरियों का फायदा कैसे उठाया जा सकता है, तो हम अपने ग्राहकों को जीरो-डे करेंगे।"
विरल भेद्यता जानकारी?
Microsoft - अन्य प्रमुख सॉफ़्टवेयर विक्रेताओं के रूप में - कंपनी द्वारा अपनी भेद्यता प्रकटीकरण के साथ जारी की गई अपेक्षाकृत विरल जानकारी के लिए सुरक्षा शोधकर्ताओं की आलोचना का सामना करना पड़ा है। नवंबर 2020 से, Microsoft सामान्य भेद्यता स्कोरिंग सिस्टम (CVSS) ढांचे का उपयोग कर रहा है इसकी सुरक्षा अद्यतन मार्गदर्शिका में कमजोरियों का वर्णन करें. विवरण में हमले वेक्टर, हमले की जटिलता, और एक हमलावर के विशेषाधिकारों के प्रकार जैसी विशेषताएं शामिल हैं। अपडेट गंभीरता रैंकिंग को संप्रेषित करने के लिए एक अंक भी प्रदान करते हैं।
हालाँकि, कुछ ने अद्यतनों को गुप्त बताया है और उन घटकों के बारे में महत्वपूर्ण जानकारी का अभाव है जिनका शोषण किया जा रहा है या उनका शोषण कैसे किया जा सकता है। उन्होंने नोट किया है कि कमजोरियों को "अधिक संभावित रूप से शोषण" या "शोषण कम संभावना" बकेट में रखने की Microsoft की वर्तमान प्रथा जोखिम-आधारित प्राथमिकता निर्णय लेने के लिए पर्याप्त जानकारी प्रदान नहीं करती है।
हाल ही में, माइक्रोसॉफ्ट को क्लाउड सुरक्षा कमजोरियों के संबंध में पारदर्शिता की कथित कमी के लिए कुछ आलोचनाओं का भी सामना करना पड़ा है। जून में, टेनेबल के सीईओ अमित योरन ने कंपनी पर आरोप लगाया "चुपचाप" Azure कमजोरियों के एक जोड़े को पैच करना जिसे टेनेबल के शोधकर्ताओं ने खोजा और रिपोर्ट किया था।
योरान ने लिखा, "ये दोनों कमजोरियां Azure Synapse सेवा का उपयोग करने वाले किसी भी व्यक्ति द्वारा शोषण योग्य थीं।" "स्थिति का मूल्यांकन करने के बाद, माइक्रोसॉफ्ट ने चुपचाप समस्याओं में से एक को कम करने, जोखिम को कम करने का फैसला किया," और ग्राहकों को सूचित किए बिना।
योरान ने अन्य विक्रेताओं की ओर इशारा किया - जैसे कि ओर्का सिक्योरिटी और विज़ - जिन्हें Microsoft के लिए Azure में कमजोरियों का खुलासा करने के बाद इसी तरह के मुद्दों का सामना करना पड़ा था।
MITRE की CVE नीतियों के अनुरूप
गुप्ता का कहना है कि भेद्यता के लिए सीवीई जारी करने के बारे में माइक्रोसॉफ्ट का निर्णय एमआईटीआरई के सीवीई कार्यक्रम की नीतियों के अनुरूप है।
"उनकी नीति के अनुसार, यदि कोई ग्राहक कार्रवाई की आवश्यकता नहीं है, तो हमें सीवीई जारी करने की आवश्यकता नहीं है," वह कहती हैं। "लक्ष्य संगठनों के लिए शोर के स्तर को कम रखना है और उन पर उन सूचनाओं का बोझ नहीं डालना है जिनके साथ वे बहुत कम कर सकते हैं।"
"आपको यह जानने की ज़रूरत नहीं है कि Microsoft दिन-प्रतिदिन के आधार पर चीजों को सुरक्षित रखने के लिए 50 चीजें कर रहा है," वह नोट करती हैं।
गुप्ता विज द्वारा पिछले साल के खुलासे में चार महत्वपूर्ण कमजोरियों की ओर इशारा करते हैं Azure में ओपन मैनेजमेंट इंफ्रास्ट्रक्चर (OMI) घटक एक उदाहरण के रूप में कि Microsoft उन स्थितियों को कैसे संभालता है जहाँ क्लाउड भेद्यता ग्राहकों को प्रभावित कर सकती है। उस स्थिति में, Microsoft की रणनीति प्रभावित होने वाले संगठनों से सीधे संपर्क करने की थी।
"हम जो करते हैं वह ग्राहकों को एक-से-एक सूचनाएं भेजते हैं क्योंकि हम नहीं चाहते कि यह जानकारी खो जाए," वह कहती हैं, "हम एक सीवीई जारी करते हैं, लेकिन हम ग्राहकों को एक नोटिस भी भेजते हैं क्योंकि अगर यह एक वातावरण में है आप पैचिंग के लिए ज़िम्मेदार हैं, हम अनुशंसा करते हैं कि आप इसे जल्दी से पैच करें।"
गुप्ता का कहना है कि कभी-कभी कोई संगठन आश्चर्यचकित हो सकता है कि उन्हें किसी मुद्दे की सूचना क्यों नहीं दी गई - ऐसा इसलिए है क्योंकि वे प्रभावित नहीं होते हैं।
