BLACK HAT USA – Las Vegas – A Microsoft egyik legfelsőbb biztonsági vezetője ma megvédte a vállalat sebezhetőségre vonatkozó közzétételi irányelveit, amelyek elegendő információt biztosítanak a biztonsági csapatoknak ahhoz, hogy tájékozott javítási döntéseket hozzanak anélkül, hogy ki lenne téve a fenyegetést okozó szereplők támadásainak, akik gyorsan visszafejtik a javításokat a kihasználáshoz. .
A Black Hat USA Dark Readinggel folytatott beszélgetése során a Microsoft Security Response Center vállalati alelnöke, Aanchal Gupta elmondta, hogy a vállalat tudatosan úgy döntött, hogy kezdetben korlátozza a CVE-kben közölt információkat a felhasználók védelme érdekében. Míg a Microsoft CVE-k tájékoztatást adnak a hiba súlyosságáról és a kihasználásának valószínűségéről (és arról, hogy aktívan kihasználják-e), a vállalat megfontoltan fogja kiadni a sebezhetőség kihasználására vonatkozó információkat.
A legtöbb sebezhetőség esetében a Microsoft jelenlegi megközelítése az, hogy 30 napos időszakot ad a javítás közzétételétől, mielőtt kitölti a CVE-t a sebezhetőségről és annak kihasználhatóságáról, mondja Gupta. A cél az, hogy a biztonsági adminisztrátorok elegendő időt biztosítsanak a javítás alkalmazására anélkül, hogy veszélyeztetnék őket. „Ha a CVE-nkban megadtuk a sebezhetőségek kihasználásának minden részletét, akkor ügyfeleink nulladik napját fogjuk érinteni” – mondja Gupta.
Ritka sebezhetőségi információ?
A Microsoft – más nagy szoftvergyártókhoz hasonlóan – kritikát kapott a biztonsági kutatók részéről, amiért a vállalat a sebezhetőségi felfedések során viszonylag kevés információt tesz közzé. 2020 novembere óta a Microsoft a Common Vulnerability Scoring System (CVSS) keretrendszert használja írja le a biztonsági réseket a biztonsági frissítési útmutatójában. A leírások olyan attribútumokra vonatkoznak, mint a támadás vektora, a támadás összetettsége és a támadó jogosultságai. A frissítések egy pontszámot is biztosítanak a súlyossági rangsor közvetítéséhez.
Néhányan azonban rejtélyesnek írták le a frissítéseket, és nem tartalmaznak kritikus információkat a kihasznált összetevőkről vagy azok kihasználásának módjáról. Megállapították, hogy a Microsoft jelenlegi gyakorlata, amely szerint a sebezhetőségeket a „kihasználás valószínűbb” vagy a „kevésbé valószínű kihasználás” csoportba helyezi, nem ad elegendő információt a kockázatalapú prioritási döntések meghozatalához.
A közelmúltban a Microsoftot is kritizálták a felhő biztonsági sérülékenységeivel kapcsolatos állítólagos átláthatóság hiánya miatt. Júniusban a Tenable vezérigazgatója, Amit Yoran azzal vádolta a céget „csendben” javított néhány Azure-sebezhetőséget amit Tenable kutatói fedeztek fel és jelentettek.
"Mindkét sérülékenységet bárki kihasználhatta, aki az Azure Synapse szolgáltatást használja" - írta Yoran. „A helyzet értékelése után a Microsoft úgy döntött, hogy csendben befoltozza az egyik problémát, lekicsinyelve a kockázatot”, anélkül, hogy értesítette volna az ügyfeleket.
Yoran más gyártókra – például az Orca Securityra és a Wizre – mutatott rá, amelyek hasonló problémákkal szembesültek, miután felfedték az Azure sebezhetőségeit a Microsoftnak.
Összhangban a MITRE CVE irányelveivel
Gupta szerint a Microsoft azon döntése, hogy adjon-e ki CVE-t egy biztonsági rés esetén, összhangban van a MITRE CVE programjának szabályzatával.
„Irányelvük szerint, ha nincs szükség vevői intézkedésre, nem kell CVE-t kiadnunk” – mondja. "A cél az, hogy a szervezetek zajszintjét alacsonyan tartsák, és ne terheljék őket olyan információkkal, amelyekkel keveset tudnak mit kezdeni."
„Nem kell ismernie azt az 50 dolgot, amit a Microsoft tesz a dolgok mindennapi biztonságának megőrzése érdekében” – jegyzi meg.
Gupta rámutat arra, hogy a Wiz tavaly négy kritikus sérülékenységet tárt fel Nyissa meg a felügyeleti infrastruktúra (OMI) összetevőt az Azure-ban példa arra, hogy a Microsoft hogyan kezeli azokat a helyzeteket, amikor egy felhőbeli sebezhetőség hatással lehet az ügyfelekre. Ebben a helyzetben a Microsoft stratégiája az volt, hogy közvetlenül kapcsolatba lépjen az érintett szervezetekkel.
„Azt csináljuk, hogy személyes értesítéseket küldünk az ügyfeleknek, mert nem akarjuk, hogy ezek az információk elveszjenek” – mondja „CVE-t adunk ki, de értesítést is küldünk az ügyfeleknek, mert ha az olyan környezetben van. hogy Ön felelős a javításért, javasoljuk, hogy gyorsan javítsa ki."
Néha egy szervezet elgondolkozhat azon, hogy miért nem értesítették őket egy problémáról – ez valószínűleg azért van, mert nem érinti őket, mondja Gupta.
