BLACK HAT USA — ラスベガス — マイクロソフトのセキュリティ担当幹部は本日、脆弱性開示ポリシーを擁護し、セキュリティ チームが情報に基づいたパッチ適用の決定を下すのに十分な情報を提供し、悪用のためにパッチを迅速にリバース エンジニアリングしようとする脅威アクターからの攻撃の危険にさらされることはありませんでした。 .
Black Hat USA の Dark Reading との会話の中で、Microsoft のセキュリティ レスポンス センターのコーポレート バイス プレジデントである Aanchal Gupta 氏は、ユーザーを保護するために、最初に CVE で提供する情報を意識的に制限することにしたと述べました。 Microsoft の CVE は、バグの重大度と悪用される可能性 (および実際に悪用されているかどうか) に関する情報を提供しますが、同社は脆弱性悪用情報をどのように公開するかについて慎重に検討します。
ほとんどの脆弱性について、Microsoft の現在のアプローチは、脆弱性とその悪用可能性に関する詳細を CVE に記入する前に、パッチの開示から 30 日間のウィンドウを与えることです、と Gupta は言います。 目標は、セキュリティ管理者を危険にさらすことなくパッチを適用するのに十分な時間を与えることです、と彼女は言います. 「CVE で、脆弱性が悪用される可能性があるすべての詳細を提供した場合、顧客をゼロデイ攻撃することになります」と Gupta 氏は言います。
まばらな脆弱性情報?
Microsoft は、他の主要なソフトウェア ベンダーと同様に、同社が脆弱性の開示で公開する情報が比較的少ないため、セキュリティ研究者からの批判に直面しています。 2020 年 XNUMX 月以来、Microsoft は Common Vulnerability Scoring System (CVSS) フレームワークを使用して、 セキュリティ更新ガイドで脆弱性を説明する. 説明には、攻撃ベクトル、攻撃の複雑さ、攻撃者が持つ可能性のある特権の種類などの属性が含まれます。 更新では、重大度のランキングを表すスコアも提供されます。
ただし、このアップデートについて、悪用されているコンポーネントやそれらがどのように悪用される可能性があるかについての重要な情報が不足しており、不可解であると説明する人もいます。 彼らは、脆弱性を「悪用の可能性が高い」バケットまたは「悪用の可能性が低い」バケットに入れるというマイクロソフトの現在の慣行では、リスクベースの優先順位決定を行うための十分な情報が得られないと指摘しています。
最近では、Microsoft は、クラウド セキュリティの脆弱性に関する透明性の欠如の疑いについて、いくつかの批判にも直面しています。 XNUMX 月、Tenable の CEO である Amit Yoran は、同社を次のように非難しました。 Azure のいくつかの脆弱性に「黙って」パッチを適用する Tenable の研究者が発見し、報告したことです。
「これらの脆弱性はどちらも、Azure Synapse サービスを使用している誰でも悪用可能でした」と Yoran は書いています。 「状況を評価した後、Microsoft は問題の XNUMX つに静かにパッチを適用することを決定し、リスクを軽視しました」、そして顧客に通知することはありませんでした。
Yoran 氏は、Orca Security や Wiz などの他のベンダーが、Azure の脆弱性を Microsoft に開示した後に同様の問題に遭遇したことを指摘しました。
MITRE の CVE ポリシーに準拠
Gupta は、脆弱性に対して CVE を発行するかどうかに関する Microsoft の決定は、MITRE の CVE プログラムのポリシーと一致していると述べています。
「彼らのポリシーによれば、顧客のアクションが必要ない場合、CVE を発行する必要はありません」と彼女は言います。 「目標は、組織の騒音レベルを低く保ち、ほとんど処理できない情報で組織に負担をかけないようにすることです。」
「日常的に物事を安全に保つために Microsoft が行っている 50 のことを知る必要はありません」と彼女は指摘します。
Gupta は、Wiz が昨年公開した XNUMX つの重要な脆弱性を指摘しています。 Azure の Open Management Infrastructure (OMI) コンポーネント クラウドの脆弱性が顧客に影響を与える可能性がある状況をマイクロソフトがどのように処理するかの例として。 そのような状況で、Microsoft の戦略は、影響を受ける組織に直接連絡することでした。
「私たちが行っていることは、顧客に XNUMX 対 XNUMX の通知を送信することです。この情報が失われるのを避けるためです」と彼女は言います。パッチを適用する責任があることを確認し、迅速にパッチを適用することをお勧めします。」
組織は、問題が通知されなかった理由を疑問に思う場合があります。それは、影響を受けていないためである可能性が高いと Gupta 氏は言います。
