BLACK HAT USA — Las Vegas — Seorang eksekutif keamanan Microsoft hari ini membela kebijakan pengungkapan kerentanan perusahaan sebagai memberikan informasi yang cukup bagi tim keamanan untuk membuat keputusan patch yang tepat tanpa menempatkan mereka pada risiko serangan dari aktor ancaman yang ingin segera merekayasa balik patch untuk eksploitasi .
Dalam percakapan dengan Dark Reading di Black Hat USA, wakil presiden perusahaan dari Pusat Respons Keamanan Microsoft, Aanchal Gupta, mengatakan bahwa perusahaan secara sadar memutuskan untuk membatasi informasi yang diberikannya pada awalnya dengan CVE-nya untuk melindungi pengguna. Meskipun CVE Microsoft memberikan informasi tentang tingkat keparahan bug, dan kemungkinan bug tersebut dieksploitasi (dan apakah bug tersebut sedang dieksploitasi secara aktif), perusahaan akan berhati-hati tentang cara merilis informasi eksploitasi kerentanan.
Untuk sebagian besar kerentanan, pendekatan Microsoft saat ini adalah memberikan jendela 30 hari dari pengungkapan patch sebelum mengisi CVE dengan rincian lebih lanjut tentang kerentanan dan eksploitabilitasnya, kata Gupta. Tujuannya adalah untuk memberikan waktu yang cukup bagi administrasi keamanan untuk menerapkan patch tanpa membahayakan mereka, katanya. “Jika, di CVE kami, kami memberikan semua detail tentang bagaimana kerentanan dapat dieksploitasi, kami akan menjadi pelanggan nol hari,” kata Gupta.
Informasi Kerentanan Jarang?
Microsoft - sebagai vendor perangkat lunak utama lainnya - telah menghadapi kritik dari peneliti keamanan untuk informasi yang relatif jarang yang dirilis perusahaan dengan pengungkapan kerentanannya. Sejak November 2020, Microsoft telah menggunakan kerangka kerja Common Vulnerability Scoring System (CVSS) untuk jelaskan kerentanan dalam panduan pembaruan keamanannya. Deskripsi mencakup atribut seperti vektor serangan, kompleksitas serangan, dan jenis hak istimewa yang mungkin dimiliki penyerang. Pembaruan juga memberikan skor untuk menyampaikan peringkat keparahan.
Namun, beberapa telah menggambarkan pembaruan sebagai samar dan kurang informasi penting tentang komponen yang dieksploitasi atau bagaimana mereka dapat dieksploitasi. Mereka telah mencatat bahwa praktik Microsoft saat ini dalam menempatkan kerentanan ke dalam "Eksploitasi Lebih Mungkin" atau "Ekploitasi Kurang Mungkin" ember tidak memberikan informasi yang cukup untuk membuat keputusan prioritas berbasis risiko.
Baru-baru ini, Microsoft juga menghadapi beberapa kritik atas dugaan kurangnya transparansi terkait kerentanan keamanan cloud. Pada bulan Juni, CEO Tenable Amit Yoran menuduh perusahaan "diam-diam" menambal beberapa kerentanan Azure yang telah ditemukan dan dilaporkan oleh para peneliti Tenable.
“Kedua kerentanan ini dapat dieksploitasi oleh siapa saja yang menggunakan layanan Azure Synapse,” tulis Yoran. “Setelah mengevaluasi situasinya, Microsoft memutuskan untuk diam-diam menambal salah satu masalah, mengecilkan risikonya,” dan tanpa memberi tahu pelanggan.
Yoran menunjuk ke vendor lain — seperti Orca Security dan Wiz — yang mengalami masalah serupa setelah mereka mengungkapkan kerentanan di Azure ke Microsoft.
Konsisten dengan Kebijakan CVE MITRE
Gupta mengatakan keputusan Microsoft tentang apakah akan mengeluarkan CVE untuk kerentanan konsisten dengan kebijakan program CVE MITRE.
“Sesuai kebijakan mereka, jika tidak ada tindakan pelanggan yang diperlukan, kami tidak diharuskan mengeluarkan CVE,” katanya. “Tujuannya adalah untuk menjaga tingkat kebisingan bagi organisasi dan tidak membebani mereka dengan informasi yang tidak dapat mereka lakukan.”
“Anda tidak perlu tahu 50 hal yang dilakukan Microsoft untuk menjaga keamanan setiap hari,” catatnya.
Gupta menunjuk pada pengungkapan tahun lalu oleh Wiz tentang empat kerentanan kritis di Buka komponen Infrastruktur Manajemen (OMI) di Azure sebagai contoh bagaimana Microsoft menangani situasi di mana kerentanan cloud dapat memengaruhi pelanggan. Dalam situasi itu, strategi Microsoft adalah langsung menghubungi organisasi yang terkena dampak.
“Yang kami lakukan adalah mengirimkan notifikasi one-to-one kepada pelanggan karena kami tidak ingin info ini hilang,” ujarnya “Kami mengeluarkan CVE, tetapi kami juga mengirimkan pemberitahuan kepada pelanggan karena jika berada di lingkungan bahwa Anda bertanggung jawab untuk menambal, kami sarankan Anda menambalnya dengan cepat.”
Kadang-kadang sebuah organisasi mungkin bertanya-tanya mengapa mereka tidak diberitahu tentang suatu masalah — itu mungkin karena mereka tidak terpengaruh, kata Gupta.
