BLACK HAT USA — Las Vegas — Een topbeveiligingsmanager van Microsoft verdedigde vandaag het beveiligingsbeleid van het bedrijf, omdat het beveiligingsteams voldoende informatie verschaft om geïnformeerde patchbeslissingen te nemen zonder dat ze het risico lopen te worden aangevallen door bedreigingsactoren die snel patches voor uitbuiting willen reverse-engineeren .
In een gesprek met Dark Reading bij Black Hat USA, zei de corporate vice-president van Microsoft's Security Response Center, Aanchal Gupta, dat het bedrijf bewust heeft besloten om de informatie die het aanvankelijk met zijn CVE's verstrekt te beperken om gebruikers te beschermen. Hoewel Microsoft CVE's informatie geven over de ernst van de bug en de waarschijnlijkheid dat deze wordt uitgebuit (en of deze actief wordt uitgebuit), zal het bedrijf oordeelkundig zijn over de manier waarop het informatie over misbruik van kwetsbaarheden vrijgeeft.
Voor de meeste kwetsbaarheden is de huidige aanpak van Microsoft om een periode van 30 dagen te geven vanaf de onthulling van de patch voordat het de CVE invult met meer details over de kwetsbaarheid en de misbruikbaarheid ervan, zegt Gupta. Het doel is om beveiligingsadministraties voldoende tijd te geven om de patch toe te passen zonder ze in gevaar te brengen, zegt ze. "Als we in onze CVE alle details geven over hoe kwetsbaarheden kunnen worden uitgebuit, zullen we onze klanten zero-daying geven", zegt Gupta.
Weinig informatie over kwetsbaarheden?
Microsoft heeft - net als andere grote softwareleveranciers - te maken gehad met kritiek van beveiligingsonderzoekers vanwege de relatief schaarse informatie die het bedrijf vrijgeeft met zijn onthullingen over kwetsbaarheden. Sinds november 2020 gebruikt Microsoft het Common Vulnerability Scoring System (CVSS) framework om: beschrijf kwetsbaarheden in de handleiding voor beveiligingsupdates. De beschrijvingen hebben betrekking op kenmerken zoals aanvalsvector, aanvalscomplexiteit en het soort privileges dat een aanvaller zou kunnen hebben. De updates bieden ook een score om de ernstrangschikking weer te geven.
Sommigen hebben de updates echter beschreven als cryptisch en zonder kritieke informatie over de componenten die worden uitgebuit of hoe ze kunnen worden uitgebuit. Ze hebben opgemerkt dat de huidige praktijk van Microsoft om kwetsbaarheden in een 'exploitatie meer waarschijnlijk' of een 'exploitatie minder waarschijnlijk'-bucket te plaatsen, niet voldoende informatie biedt om op risico's gebaseerde prioriteringsbeslissingen te nemen.
Meer recentelijk heeft Microsoft ook kritiek gekregen vanwege het vermeende gebrek aan transparantie met betrekking tot kwetsbaarheden in de cloudbeveiliging. In juni beschuldigde Tenable's CEO Amit Yoran het bedrijf van: "stil" een paar Azure-kwetsbaarheden patchen die de onderzoekers van Tenable hadden ontdekt en gerapporteerd.
"Beide kwetsbaarheden konden worden misbruikt door iedereen die de Azure Synapse-service gebruikte", schreef Yoran. "Na de situatie te hebben geëvalueerd, besloot Microsoft om een van de problemen stilletjes te patchen, waardoor het risico werd gebagatelliseerd", en zonder de klanten hiervan op de hoogte te stellen.
Yoran wees op andere leveranciers, zoals Orca Security en Wiz, die soortgelijke problemen hadden ondervonden nadat ze kwetsbaarheden in Azure aan Microsoft hadden bekendgemaakt.
In overeenstemming met het CVE-beleid van MITRE
Gupta zegt dat de beslissing van Microsoft over het al dan niet verstrekken van een CVE voor een kwetsbaarheid in overeenstemming is met het beleid van het CVE-programma van MITRE.
"Volgens hun beleid zijn we niet verplicht om een CVE af te geven als er geen actie van de klant nodig is", zegt ze. “Het doel is om het geluidsniveau voor organisaties laag te houden en ze niet te belasten met informatie waar ze weinig mee kunnen.”
"Je hoeft niet te weten welke 50 dingen Microsoft doet om dingen dagelijks te beveiligen", merkt ze op.
Gupta wijst op de onthulling van vorig jaar door Wiz van vier kritieke kwetsbaarheden in de Open Management Infrastructure (OMI)-component in Azure als voorbeeld van hoe Microsoft omgaat met situaties waarin een cloudkwetsbaarheid van invloed kan zijn op klanten. In die situatie was de strategie van Microsoft om rechtstreeks contact op te nemen met organisaties die getroffen worden.
"Wat we doen is één-op-één meldingen naar klanten sturen omdat we niet willen dat deze informatie verloren gaat", zegt ze. "We geven een CVE uit, maar we sturen ook een bericht naar klanten, want als het in een omgeving is dat u verantwoordelijk bent voor het patchen, raden we u aan om het snel te patchen.”
Soms vraagt een organisatie zich af waarom ze niet op de hoogte zijn gesteld van een probleem - dat komt waarschijnlijk omdat ze er geen last van hebben, zegt Gupta.
