BLACK HAT USA – Las Vegas – Mengikuti patch kerentanan keamanan sangat menantang, tetapi memprioritaskan bug mana yang menjadi fokus menjadi lebih sulit daripada sebelumnya, berkat skor CVSS yang tidak sesuai konteks, saran vendor yang tidak jelas, dan perbaikan yang tidak lengkap yang meninggalkan admin dengan rasa aman yang salah.
Itulah argumen yang dibuat Brian Gorenc dan Dustin Childs, keduanya bersama Zero Day Initiative (ZDI) Trend Micro dari panggung Black Hat USA selama sesi mereka, “Menghitung Risiko di Era Ketidakjelasan: Membaca Antara Garis dari Penasihat Keamanan. "
ZDI telah mengungkapkan lebih dari 10,000 kerentanan kepada vendor di seluruh industri sejak tahun 2005. Selama waktu itu, manajer komunikasi ZDI Childs mengatakan bahwa dia melihat tren yang mengganggu, yaitu penurunan kualitas patch dan pengurangan komunikasi seputar pembaruan keamanan.
“Masalah sebenarnya muncul ketika vendor merilis tambalan yang salah, atau informasi yang tidak akurat dan tidak lengkap tentang tambalan tersebut yang dapat menyebabkan perusahaan salah menghitung risiko mereka,” katanya. “Tambalan yang salah juga bisa menjadi keuntungan untuk mengeksploitasi penulis, karena 'n-days' jauh lebih mudah digunakan daripada zero-days."
Masalah Dengan Skor CVSS & Prioritas Patch
Sebagian besar tim keamanan siber kekurangan staf dan berada di bawah tekanan, dan mantra “selalu perbarui semua versi perangkat lunak” tidak selalu masuk akal bagi departemen yang tidak memiliki sumber daya untuk menutupi tepi laut. Itulah mengapa memprioritaskan patch mana yang akan diterapkan sesuai dengan peringkat keparahannya di Common Vulnerability Severity Scale (CVSS) telah menjadi fallback bagi banyak admin.
Namun, Childs mencatat bahwa pendekatan ini sangat cacat, dan dapat menyebabkan sumber daya dihabiskan untuk bug yang kemungkinan tidak akan pernah dieksploitasi. Itu karena ada sejumlah informasi penting yang tidak diberikan oleh skor CVSS.
“Terlalu sering, perusahaan tidak melihat lebih jauh dari inti dasar CVSS untuk menentukan prioritas patching,” katanya. “Tetapi CVSS tidak benar-benar melihat eksploitabilitas, atau apakah kerentanan kemungkinan akan digunakan di alam liar. CVSS tidak memberi tahu Anda apakah bug tersebut ada di 15 sistem atau di 15 juta sistem. Dan itu tidak mengatakan apakah itu ada di server yang dapat diakses publik atau tidak.”
Dia menambahkan, "Dan yang paling penting, itu tidak mengatakan apakah bug itu ada atau tidak dalam sistem yang penting untuk perusahaan spesifik Anda."
Jadi, meskipun bug mungkin membawa peringkat kritis 10 dari 10 pada skala CVSS, dampak sebenarnya mungkin jauh lebih kecil daripada yang ditunjukkan oleh label kritis.
"Bug eksekusi kode jarak jauh (RCE) yang tidak diautentikasi di server email seperti Microsoft Exchange akan menghasilkan banyak minat dari penulis eksploit," katanya. “Bug RCE yang tidak diautentikasi di server email seperti Squirrel Mail mungkin tidak akan menghasilkan banyak perhatian.”
Untuk mengisi kesenjangan kontekstual, tim keamanan sering beralih ke saran vendor – yang, menurut Childs, memiliki masalah mencolok mereka sendiri: Mereka sering mempraktikkan keamanan melalui ketidakjelasan.
Penasihat Microsoft Patch Tuesday Kurang Detail
Pada tahun 2021, Microsoft membuat keputusan untuk menghapus ringkasan eksekutif
dari panduan pembaruan keamanan, alih-alih memberi tahu pengguna bahwa skor CVSS akan cukup untuk penentuan prioritas – perubahan yang diledakkan oleh Childs.
“Perubahan menghilangkan konteks yang diperlukan untuk menentukan risiko,” katanya. “Misalnya, apakah bug pengungkapan informasi membuang memori acak atau PII? Atau untuk bypass fitur keamanan, apa yang dilewati? Informasi dalam tulisan-tulisan ini tidak konsisten dan dengan kualitas yang berbeda-beda, meskipun hampir ada kritik universal terhadap perubahan tersebut.”
Selain Microsoft "menghapus atau mengaburkan informasi dalam pembaruan yang digunakan untuk menghasilkan panduan yang jelas", sekarang juga lebih sulit untuk menentukan informasi dasar Patch Tuesday, seperti berapa banyak bug yang ditambal setiap bulan.
"Sekarang Anda harus menghitung sendiri, dan itu sebenarnya salah satu hal tersulit yang saya lakukan," kata Childs.
Juga, informasi tentang berapa banyak kerentanan yang diserang secara aktif atau diketahui publik masih tersedia, tetapi terkubur dalam buletin sekarang.
“Sebagai contoh, dengan 121 CVE sedang ditambal bulan ini, agak sulit untuk menggali semuanya untuk mencari mana yang diserang secara aktif, ”kata Childs. “Sebaliknya, orang sekarang mengandalkan sumber informasi lain seperti blog dan artikel pers, daripada informasi resmi dari vendor untuk membantu menentukan risiko.”
Perlu dicatat bahwa Microsoft telah menggandakan perubahan. Dalam percakapan dengan Dark Reading di Black Hat USA, wakil presiden perusahaan dari Pusat Respons Keamanan Microsoft, Aanchal Gupta, mengatakan bahwa perusahaan secara sadar memutuskan untuk membatasi informasi yang diberikannya pada awalnya dengan CVE-nya untuk melindungi pengguna. Sementara CVE Microsoft memberikan informasi tentang tingkat keparahan bug, dan kemungkinan itu dieksploitasi (dan apakah itu sedang dieksploitasi secara aktif), perusahaan akan bijaksana tentang bagaimana merilis informasi eksploitasi kerentanan, katanya.
Tujuannya adalah untuk memberikan waktu yang cukup bagi administrasi keamanan untuk menerapkan patch tanpa membahayakan mereka, kata Gupta. “Jika, di CVE kami, kami memberikan semua detail tentang bagaimana kerentanan dapat dieksploitasi, kami akan menjadi pelanggan nol hari,” katanya.
Ketidakjelasan Praktek Vendor Lain
Microsoft hampir tidak sendirian dalam memberikan sedikit detail dalam pengungkapan bug. Childs mengatakan bahwa banyak vendor tidak menyediakan CVE sama sekali saat mereka merilis pembaruan.
“Mereka hanya mengatakan pembaruan memperbaiki beberapa masalah keamanan,” jelasnya. "Berapa banyak? Apa tingkat keparahannya? Apa eksploitabilitasnya? Kami bahkan memiliki vendor baru-baru ini mengatakan kepada kami secara khusus, kami tidak mempublikasikan nasihat publik tentang masalah keamanan. Itu langkah yang berani.”
Selain itu, beberapa vendor menempatkan nasihat di balik paywalls atau kontrak dukungan, yang semakin menutupi risiko mereka. Atau, mereka menggabungkan beberapa laporan bug ke dalam satu CVE, meskipun ada persepsi umum bahwa CVE mewakili satu kerentanan unik.
"Ini mengarah pada kemungkinan penyimpangan perhitungan risiko Anda," katanya. “Misalnya, jika Anda melihat membeli suatu produk, dan Anda melihat 10 CVE yang telah ditambal dalam jangka waktu tertentu, Anda mungkin sampai pada satu kesimpulan tentang risiko dari produk baru ini. Namun, jika Anda tahu 10 CVE itu didasarkan pada 100+ laporan bug, Anda mungkin akan sampai pada kesimpulan yang berbeda.”
Prioritas Plasebo Patch Plague
Di luar masalah pengungkapan, tim keamanan juga menghadapi masalah dengan patch itu sendiri. "Plasebo patch," yang merupakan "perbaikan" yang sebenarnya tidak membuat perubahan kode yang efektif, tidak biasa, menurut Childs.
“Jadi bug itu masih ada dan bisa dimanfaatkan oleh pelaku ancaman, kecuali sekarang mereka sudah diberitahu,” katanya. “Ada banyak alasan mengapa ini bisa terjadi, tapi itu memang terjadi – bug yang sangat bagus sehingga kami menambalnya dua kali.”
Ada juga sering tambalan yang tidak lengkap; pada kenyataannya, dalam program ZDI, 10% hingga 20% dari bug yang dianalisis peneliti adalah akibat langsung dari patch yang salah atau tidak lengkap.
Childs menggunakan contoh masalah integer overflow di Adobe Reader yang mengarah ke alokasi heap yang terlalu kecil, yang menghasilkan buffer overflow ketika terlalu banyak data ditulis ke dalamnya.
“Kami berharap Adobe melakukan perbaikan dengan menetapkan nilai apa pun pada titik tertentu menjadi buruk,” kata Childs. “Tapi bukan itu yang kami lihat, dan dalam 60 menit peluncuran, ada patch bypass dan mereka harus menambal lagi. Tayangan ulang tidak hanya untuk acara TV.”
Cara Memerangi Masalah Prioritas Patch
Pada akhirnya ketika menyangkut prioritas tambalan, manajemen tambalan yang efektif dan perhitungan risiko bermuara pada mengidentifikasi target perangkat lunak bernilai tinggi dalam organisasi serta menggunakan sumber pihak ketiga untuk mempersempit tambalan mana yang paling penting untuk lingkungan tertentu, peneliti mencatat.
Namun, masalah kegesitan pasca pengungkapan adalah area kunci lain yang menjadi fokus organisasi.
Menurut Gorenc, direktur senior di ZDI, penjahat dunia maya tidak membuang waktu untuk mengintegrasikan vuln dengan permukaan serangan besar ke dalam set alat ransomware atau kit eksploitasi mereka, mencari untuk mempersenjatai kelemahan yang baru diungkapkan sebelum perusahaan punya waktu untuk menambal. Apa yang disebut bug n-hari ini adalah catnip bagi penyerang, yang rata-rata dapat merekayasa balik bug hanya dalam 48 jam.
“Sebagian besar, komunitas penyerang menggunakan kerentanan n-hari yang memiliki patch publik yang tersedia,” kata Gorenc. “Penting bagi kami untuk memahami saat pengungkapan jika bug benar-benar akan dijadikan senjata, tetapi sebagian besar vendor tidak memberikan informasi mengenai eksploitabilitas.”
Dengan demikian, penilaian risiko perusahaan harus cukup dinamis untuk mengubah pasca-pengungkapan, dan tim keamanan harus memantau sumber intelijen ancaman untuk memahami kapan bug diintegrasikan ke dalam kit eksploit atau ransomware, atau saat eksploit dirilis secara online.
Selain itu, garis waktu yang penting untuk dipertimbangkan oleh perusahaan adalah berapa lama waktu yang dibutuhkan untuk benar-benar meluncurkan patch di seluruh organisasi, dan apakah ada sumber daya darurat yang dapat digunakan jika perlu.
“Ketika perubahan terjadi pada lanskap ancaman (revisi patch, bukti konsep publik, dan rilis eksploitasi), perusahaan harus mengalihkan sumber daya mereka untuk memenuhi kebutuhan dan memerangi risiko terbaru,” jelas Gorenc. “Bukan hanya kerentanan terbaru yang dipublikasikan dan diberi nama. Amati apa yang terjadi di lanskap ancaman, arahkan sumber daya Anda, dan putuskan kapan harus bertindak.”
