BLACK HAT USA – Las Vegas – En topp Microsoft-sikkerhetsleder forsvarte i dag selskapets retningslinjer for avsløring av sårbarheter som å gi nok informasjon til sikkerhetsteam til å ta informerte oppdateringsbeslutninger uten å sette dem i fare for angrep fra trusselaktører som ønsker å raskt reversere oppdateringer for utnyttelse .
I en samtale med Dark Reading hos Black Hat USA sa konserndirektøren for Microsofts sikkerhetsresponssenter, Aanchal Gupta, at selskapet bevisst har bestemt seg for å begrense informasjonen den gir i utgangspunktet med sine CVE-er for å beskytte brukerne. Mens Microsoft CVE-er gir informasjon om alvorlighetsgraden av feilen, og sannsynligheten for at den blir utnyttet (og om den blir utnyttet aktivt), vil selskapet være fornuftig med hensyn til hvordan det frigir informasjon om sårbarhetsutnyttelse.
For de fleste sårbarheter er Microsofts nåværende tilnærming å gi et 30-dagers vindu fra patch-avsløring før den fyller ut CVE med flere detaljer om sårbarheten og dens utnyttelsesmuligheter, sier Gupta. Målet er å gi sikkerhetsadministrasjonene nok tid til å bruke oppdateringen uten å sette dem i fare, sier hun. "Hvis vi i vår CVE ga alle detaljene om hvordan sårbarheter kan utnyttes, vil vi være null-dagers kundene våre," sier Gupta.
Sparsom sårbarhetsinformasjon?
Microsoft – som andre store programvareleverandører – har møtt kritikk fra sikkerhetsforskere for den relativt sparsomme informasjonen selskapet gir ut med avsløringene av sårbarhet. Siden november 2020 har Microsoft brukt rammeverket Common Vulnerability Scoring System (CVSS) for å beskrive sårbarheter i sikkerhetsoppdateringsveiledningen. Beskrivelsene dekker attributter som angrepsvektor, angrepskompleksitet og hva slags privilegier en angriper kan ha. Oppdateringene gir også en poengsum for å formidle alvorlighetsrangering.
Noen har imidlertid beskrevet oppdateringene som kryptiske og mangler kritisk informasjon om komponentene som utnyttes eller hvordan de kan utnyttes. De har lagt merke til at Microsofts nåværende praksis med å legge sårbarheter inn i en "Exploitation More Likely" eller en "Exploitation Less Likely"-bøtte ikke gir nok informasjon til å ta risikobaserte prioriteringsbeslutninger.
Nylig har Microsoft også møtt en del kritikk for sin påståtte mangel på åpenhet angående sikkerhetssårbarheter i skyen. I juni anklaget Tenables administrerende direktør Amit Yoran selskapet for patcherer "stille" et par Azure-sårbarheter som Tenables forskere hadde oppdaget og rapportert.
"Begge disse sårbarhetene kunne utnyttes av alle som brukte Azure Synapse-tjenesten," skrev Yoran. "Etter å ha evaluert situasjonen, bestemte Microsoft seg for å lappe ett av problemene i det stille, og bagatellisere risikoen," og uten å varsle kundene.
Yoran pekte på andre leverandører – som Orca Security og Wiz – som hadde støtt på lignende problemer etter at de avslørte sårbarheter i Azure til Microsoft.
I samsvar med MITREs CVE-policyer
Gupta sier at Microsofts beslutning om å utstede en CVE for en sårbarhet er i samsvar med retningslinjene til MITREs CVE-program.
"I henhold til deres retningslinjer, hvis det ikke er nødvendig med handling fra kundene, er vi ikke pålagt å utstede en CVE," sier hun. "Målet er å holde støynivået nede for organisasjoner og ikke belaste dem med informasjon de kan gjøre lite med."
"Du trenger ikke vite de 50 tingene Microsoft gjør for å holde ting sikkert på en daglig basis," bemerker hun.
Gupta peker på fjorårets avsløring av Wiz om fire kritiske sårbarheter i Open Management Infrastructure (OMI)-komponent i Azure som et eksempel på hvordan Microsoft håndterer situasjoner der en skysårbarhet kan påvirke kunder. I den situasjonen var Microsofts strategi å kontakte organisasjoner som er berørt direkte.
"Det vi gjør er å sende en-til-en-varsler til kunder fordi vi ikke vil at denne informasjonen skal gå tapt," sier hun "Vi utsteder en CVE, men vi sender også en melding til kunder fordi hvis den er i et miljø at du er ansvarlig for å lappe, anbefaler vi at du lapper det raskt.»
Noen ganger kan en organisasjon lure på hvorfor de ikke ble varslet om et problem - det er sannsynligvis fordi de ikke er berørt, sier Gupta.
