BLACK HAT USA – Las Vegas – Bijblijven met het patchen van beveiligingskwetsbaarheden is op zijn best een uitdaging, maar het is moeilijker dan ooit om prioriteit te geven aan welke bugs je moet focussen, dankzij contextloze CVSS-scores, modderige leveranciersadviezen en onvolledige oplossingen die laat beheerders een vals gevoel van veiligheid achter.
Dat is het argument dat Brian Gorenc en Dustin Childs, beiden met Trend Micro's Zero Day Initiative (ZDI), tijdens hun sessie van het podium van Black Hat USA maakten, "Risico berekenen in het tijdperk van onduidelijkheid: tussen de regels door veiligheidsadviezen lezen. '
ZDI heeft sinds 10,000 meer dan 2005 kwetsbaarheden bekendgemaakt aan leveranciers in de hele industrie. In de loop van die tijd zei ZDI-communicatiemanager Childs dat hij een verontrustende trend heeft opgemerkt, namelijk een afname van de patchkwaliteit en vermindering van communicatie rond beveiligingsupdates.
"Het echte probleem ontstaat wanneer leveranciers defecte patches vrijgeven, of onnauwkeurige en onvolledige informatie over die patches, waardoor bedrijven hun risico verkeerd kunnen inschatten", merkte hij op. "Defecte patches kunnen ook een zegen zijn voor schrijvers, omdat 'n-days' veel gemakkelijker te gebruiken zijn dan zero-days."
Het probleem met CVSS-scores en patchprioriteit
De meeste cyberbeveiligingsteams zijn onderbemand en staan onder druk, en het mantra "houd alle softwareversies altijd up-to-date" is niet altijd logisch voor afdelingen die simpelweg niet over de middelen beschikken om de waterkant te dekken. Daarom is het voor veel beheerders een terugval geworden om prioriteit te geven aan de patches die moeten worden toegepast op basis van hun ernstclassificatie in de Common Vulnerability Severity Scale (CVSS).
Childs merkte echter op dat deze aanpak zeer gebrekkig is en ertoe kan leiden dat middelen worden besteed aan bugs waarvan het onwaarschijnlijk is dat ze ooit zullen worden uitgebuit. Dat komt omdat er een groot aantal kritische informatie is die de CVSS-score niet biedt.
"Te vaak kijken bedrijven niet verder dan de CVSS-basiskern om de prioriteit voor patching te bepalen," zei hij. “Maar de CVSS kijkt niet echt naar exploiteerbaarheid, of of een kwetsbaarheid waarschijnlijk in het wild zal worden gebruikt. De CVSS vertelt u niet of de bug in 15 systemen of in 15 miljoen systemen voorkomt. En er staat niet bij of het al dan niet op openbaar toegankelijke servers staat.”
Hij voegde eraan toe: "En het belangrijkste is dat er niet wordt vermeld of de bug al dan niet aanwezig is in een systeem dat van cruciaal belang is voor uw specifieke onderneming."
Dus ook al zou een bug een kritische beoordeling van 10 op 10 hebben op de CVSS-schaal, de werkelijke impact kan veel minder zorgwekkend zijn dan dat kritieke label zou aangeven.
"Een niet-geverifieerde RCE-bug (Remote Code Execution) in een e-mailserver zoals Microsoft Exchange zal veel belangstelling wekken van exploitschrijvers", zei hij. "Een niet-geverifieerde RCE-bug in een e-mailserver als Squirrel Mail zal waarschijnlijk niet zoveel aandacht genereren."
Om de lacunes in de context op te vullen, wenden beveiligingsteams zich vaak tot leveranciersadviezen - die, merkte Childs op, hun eigen in het oog springende probleem hebben: ze oefenen vaak beveiliging uit door middel van onduidelijkheid.
Microsoft Patch Tuesday-adviezen Gebrek aan details
In 2021 nam Microsoft de beslissing samenvattingen verwijderen
uit handleidingen voor beveiligingsupdates, in plaats daarvan gebruikers te informeren dat CVSS-scores voldoende zouden zijn voor het stellen van prioriteiten - een verandering die Childs verpletterde.
"De verandering verwijdert de context die nodig is om risico's te bepalen," zei hij. “Verwijdert een informatie-onthullingsbug bijvoorbeeld willekeurig geheugen of PII? Of voor een bypass van een beveiligingsfunctie, wat wordt er omzeild? De informatie in deze beschrijvingen is inconsistent en van wisselende kwaliteit, ondanks bijna universele kritiek op de verandering.
Naast het feit dat Microsoft "informatie in updates verwijdert of verduistert die vroeger duidelijke richtlijnen opleverden", is het nu ook moeilijker om basisinformatie over Patch Tuesday te bepalen, zoals hoeveel bugs er elke maand worden gepatcht.
"Nu moet je jezelf tellen, en het is eigenlijk een van de moeilijkste dingen die ik doe," merkte Childs op.
Ook is de informatie over hoeveel kwetsbaarheden actief worden aangevallen of publiekelijk bekend zijn nog steeds beschikbaar, maar nu verborgen in de bulletins.
“Als voorbeeld, met 121 CVE's worden deze maand gepatcht, het is nogal moeilijk om ze allemaal te doorzoeken om te zien welke actief worden aangevallen,” zei Childs. "In plaats daarvan vertrouwen mensen nu op andere informatiebronnen zoals blogs en persartikelen, in plaats van op gezaghebbende informatie van de leverancier om het risico te helpen bepalen."
Opgemerkt moet worden dat Microsoft heeft de verandering verdubbeld. In een gesprek met Dark Reading bij Black Hat USA, zei de corporate vice-president van Microsoft's Security Response Center, Aanchal Gupta, dat het bedrijf bewust heeft besloten om de informatie die het aanvankelijk met zijn CVE's verstrekt te beperken om gebruikers te beschermen. Hoewel Microsoft CVE's informatie geven over de ernst van de bug en de waarschijnlijkheid dat deze wordt uitgebuit (en of deze actief wordt uitgebuit), zal het bedrijf oordeelkundig zijn over hoe het informatie over misbruik van kwetsbaarheden vrijgeeft, zei ze.
Het doel is om beveiligingsadministraties voldoende tijd te geven om de patch toe te passen zonder ze in gevaar te brengen, zei Gupta. "Als we in onze CVE alle details geven over hoe kwetsbaarheden kunnen worden uitgebuit, zullen we onze klanten zero-daying geven", zei ze.
Andere leveranciers oefenen onduidelijkheid uit
Microsoft is nauwelijks de enige die schaarse details verstrekt in het vrijgeven van bugs. Childs zei dat veel leveranciers helemaal geen CVE's leveren wanneer ze een update uitbrengen.
"Ze zeggen alleen dat de update verschillende beveiligingsproblemen oplost", legde hij uit. "Hoeveel? Wat is de ernst? Wat is de exploiteerbaarheid? We hebben onlangs zelfs een leverancier specifiek tegen ons laten zeggen: we publiceren geen openbare adviezen over beveiligingskwesties. Dat is een gewaagde zet."
Bovendien plaatsen sommige leveranciers adviezen achter betaalmuren of ondersteuningscontracten, waardoor hun risico verder wordt verdoezeld. Of ze combineren meerdere bugrapporten in een enkele CVE, ondanks de algemene perceptie dat een CVE een enkele unieke kwetsbaarheid vertegenwoordigt.
"Dit leidt tot een mogelijke vertekening van uw risicoberekening", zei hij. "Als je bijvoorbeeld kijkt naar het kopen van een product en je ziet 10 CVE's die in een bepaalde tijd zijn gepatcht, kun je één conclusie trekken over het risico van dit nieuwe product. Als je echter wist dat die 10 CVE's gebaseerd waren op meer dan 100 bugrapporten, zou je misschien tot een andere conclusie komen.”
Placebo-patches Pestprioritering
Naast het onthullingsprobleem hebben beveiligingsteams ook problemen met de patches zelf. "Placebo-patches", "fixes" die eigenlijk geen effectieve codewijzigingen aanbrengen, zijn volgens Childs niet ongewoon.
"Dus die bug is er nog steeds en kan worden misbruikt voor bedreigingsactoren, behalve dat ze er nu van op de hoogte zijn gebracht", zei hij. “Er zijn veel redenen waarom dit kan gebeuren, maar het gebeurt – bugs zo leuk dat we ze twee keer patchen.”
Er zijn ook vaak patches die onvolledig zijn; in het ZDI-programma is zelfs 10% tot 20% van de bugs die onderzoekers analyseren het directe gevolg van een defecte of onvolledige patch.
Childs gebruikte het voorbeeld van een probleem met een overloop van gehele getallen in Adobe Reader, wat leidde tot ondermaatse heaptoewijzing, wat resulteert in een bufferoverloop wanneer er te veel gegevens naar worden geschreven.
"We verwachtten dat Adobe de oplossing zou maken door een waarde boven een bepaald punt als slecht te beschouwen", zei Childs. “Maar dat is niet wat we zagen, en binnen 60 minuten na de uitrol was er een patch-bypass en moesten ze opnieuw patchen. Herhalingen zijn niet alleen voor tv-shows.”
Hoe u problemen met patchprioriteit kunt bestrijden
Als het gaat om het prioriteren van patches, komt effectief patchbeheer en risicoberekening uiteindelijk neer op het identificeren van hoogwaardige softwaredoelen binnen de organisatie en het gebruik van bronnen van derden om te bepalen welke patches het belangrijkst zijn voor een bepaalde omgeving, de onderzoekers opgemerkt.
De kwestie van de wendbaarheid na de openbaarmaking is echter een ander belangrijk gebied waarop organisaties zich moeten concentreren.
Volgens Gorenc, senior director bij ZDI, verspillen cybercriminelen geen tijd met het integreren van kwetsbaarheden met grote aanvalsoppervlakken in hun ransomware-toolsets of hun exploitkits, en proberen ze nieuw onthulde fouten te bewapenen voordat bedrijven tijd hebben om te patchen. Deze zogenaamde n-day-bugs zijn catnip voor aanvallers, die een bug gemiddeld in slechts 48 uur kunnen reverse-engineeren.
"Voor het grootste deel gebruikt de offensieve gemeenschap n-day-kwetsbaarheden waarvoor openbare patches beschikbaar zijn", zei Gorenc. "Het is belangrijk voor ons om bij de onthulling te begrijpen of een bug daadwerkelijk wordt bewapend, maar de meeste leveranciers geven geen informatie over de exploiteerbaarheid."
Daarom moeten risicobeoordelingen van ondernemingen dynamisch genoeg zijn om na de openbaarmaking te veranderen, en beveiligingsteams moeten bronnen van bedreigingsinformatie in de gaten houden om te begrijpen wanneer een bug is geïntegreerd in een exploitkit of ransomware, of wanneer een exploit online wordt vrijgegeven.
Daarnaast is een belangrijke tijdlijn voor ondernemingen om te overwegen hoe lang het duurt om een patch daadwerkelijk in de hele organisatie uit te rollen en of er noodhulpmiddelen zijn die indien nodig kunnen worden ingezet.
"Als er veranderingen optreden in het bedreigingslandschap (patchrevisies, openbare proof-of-concepts en exploit-releases), moeten bedrijven hun middelen verschuiven om aan de behoefte te voldoen en de nieuwste risico's te bestrijden", legt Gorenc uit. “Niet alleen de nieuwste gepubliceerde en genoemde kwetsbaarheid. Observeer wat er gaande is in het dreigingslandschap, oriënteer je middelen en beslis wanneer je moet handelen.”
