BLACK HAT USA — Las Vegas — Un alto dirigente della sicurezza Microsoft ha difeso oggi le politiche di divulgazione delle vulnerabilità dell'azienda in quanto forniscono informazioni sufficienti affinché i team di sicurezza possano prendere decisioni informate sull'applicazione delle patch senza esporli al rischio di attacchi da parte di autori di minacce che cercano di decodificare rapidamente le patch per lo sfruttamento .
In una conversazione con Dark Reading presso Black Hat USA, il vicepresidente aziendale del Security Response Center di Microsoft, Aanchal Gupta, ha affermato che la società ha consapevolmente deciso di limitare le informazioni fornite inizialmente con i suoi CVE per proteggere gli utenti. Sebbene i CVE di Microsoft forniscano informazioni sulla gravità del bug e sulla probabilità che venga sfruttato (e se venga sfruttato attivamente), l'azienda sarà giudiziosa su come rilasciare le informazioni sullo sfruttamento delle vulnerabilità.
Per la maggior parte delle vulnerabilità, l'approccio attuale di Microsoft è quello di concedere una finestra di 30 giorni dalla divulgazione della patch prima di compilare il CVE con maggiori dettagli sulla vulnerabilità e sulla sua sfruttabilità, afferma Gupta. L'obiettivo è dare alle amministrazioni della sicurezza abbastanza tempo per applicare la patch senza metterle a repentaglio, afferma. "Se, nel nostro CVE, fornissimo tutti i dettagli su come sfruttare le vulnerabilità, renderemo zero-day i nostri clienti", afferma Gupta.
Informazioni sparse sulla vulnerabilità?
Microsoft, come altri importanti fornitori di software, ha dovuto affrontare critiche da parte dei ricercatori di sicurezza per le informazioni relativamente scarse che l'azienda rilascia con le sue divulgazioni di vulnerabilità. Da novembre 2020, Microsoft utilizza il framework CVSS (Common Vulnerability Scoring System) per descrivere le vulnerabilità nella sua guida all'aggiornamento della sicurezza. Le descrizioni coprono attributi come il vettore di attacco, la complessità dell'attacco e il tipo di privilegi che potrebbe avere un utente malintenzionato. Gli aggiornamenti forniscono anche un punteggio per trasmettere la classificazione della gravità.
Tuttavia, alcuni hanno descritto gli aggiornamenti come criptici e privi di informazioni critiche sui componenti sfruttati o su come potrebbero essere sfruttati. Hanno notato che l'attuale pratica di Microsoft di inserire le vulnerabilità in una categoria "Sfruttamento più probabile" o "Sfruttamento meno probabile" non fornisce informazioni sufficienti per prendere decisioni sulla definizione delle priorità basate sul rischio.
Più recentemente, Microsoft ha anche dovuto affrontare alcune critiche per la sua presunta mancanza di trasparenza riguardo alle vulnerabilità della sicurezza cloud. A giugno, l'amministratore delegato di Tenable, Amit Yoran, ha accusato la società di patchando “in silenzio” un paio di vulnerabilità di Azure che i ricercatori di Tenable avevano scoperto e segnalato.
"Entrambe queste vulnerabilità erano sfruttabili da chiunque utilizzasse il servizio Azure Synapse", ha scritto Yoran. "Dopo aver valutato la situazione, Microsoft ha deciso di risolvere silenziosamente uno dei problemi, minimizzando il rischio" e senza avvisare i clienti.
Yoran ha indicato altri fornitori, come Orca Security e Wiz, che avevano riscontrato problemi simili dopo aver rivelato a Microsoft le vulnerabilità di Azure.
Coerente con le politiche CVE di MITRE
Gupta afferma che la decisione di Microsoft sull'opportunità di emettere un CVE per una vulnerabilità è coerente con le politiche del programma CVE di MITRE.
"Secondo la loro politica, se non è necessaria alcuna azione da parte del cliente, non siamo tenuti a rilasciare un CVE", afferma. “L’obiettivo è mantenere basso il livello di rumore per le organizzazioni e non caricarle di informazioni con cui possono fare poco”.
"Non è necessario conoscere le 50 cose che Microsoft sta facendo per mantenere le cose sicure quotidianamente", osserva.
Gupta sottolinea la divulgazione, avvenuta l'anno scorso da parte di Wiz, di quattro vulnerabilità critiche nel file Componente Open Management Infrastructure (OMI) in Azure come esempio di come Microsoft gestisce le situazioni in cui una vulnerabilità del cloud potrebbe colpire i clienti. In quella situazione, la strategia di Microsoft era quella di contattare direttamente le organizzazioni interessate.
"Quello che facciamo è inviare notifiche individuali ai clienti perché non vogliamo che queste informazioni vadano perse", afferma. "Emettiamo un CVE, ma inviamo anche un avviso ai clienti perché se si trova in un ambiente che sei responsabile dell'applicazione delle patch, ti consigliamo di farlo rapidamente."
A volte un'organizzazione potrebbe chiedersi perché non è stata informata di un problema: probabilmente perché non è stata interessata, afferma Gupta.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
