BLACK HAT USA – Las Vegas – Å holde tritt med oppdatering av sikkerhetssårbarheter er i beste fall utfordrende, men å prioritere hvilke feil å fokusere på har blitt vanskeligere enn noen gang før, takket være kontekst-manglende CVSS-score, gjørmete leverandørråd og ufullstendige rettelser som la administratorer ha en falsk følelse av sikkerhet.
Det er argumentet som Brian Gorenc og Dustin Childs, begge med Trend Micros Zero Day Initiative (ZDI), kom med fra scenen til Black Hat USA under økten deres, "Beregning av risiko i uklarhetens æra: Lesing mellom linjene i sikkerhetsråd».
ZDI har avslørt mer enn 10,000 2005 sårbarheter til leverandører over hele bransjen siden XNUMX. I løpet av den tiden sa ZDI kommunikasjonssjef Childs at han har lagt merke til en urovekkende trend, som er en reduksjon i oppdateringskvalitet og reduksjon av kommunikasjon rundt sikkerhetsoppdateringer.
"Det virkelige problemet oppstår når leverandører frigir feilaktige oppdateringer, eller unøyaktig og ufullstendig informasjon om disse oppdateringene som kan føre til at bedrifter feilberegner risikoen," bemerket han. "Feilaktige oppdateringer kan også være en velsignelse for å utnytte forfattere, siden 'n-dager' er mye enklere å bruke enn null-dager."
Problemet med CVSS-poeng og oppdateringsprioritet
De fleste cybersikkerhetsteam er underbemannet og under press, og mantraet "hold alltid alle programvareversjoner oppdatert" gir ikke alltid mening for avdelinger som rett og slett ikke har ressurser til å dekke vannkanten. Det er grunnen til at prioritering av hvilke patcher som skal brukes i henhold til alvorlighetsgraden i Common Vulnerability Severity Scale (CVSS) har blitt en reserve for mange administratorer.
Childs bemerket imidlertid at denne tilnærmingen er dypt mangelfull, og kan føre til at ressurser brukes på feil som neppe noen gang vil bli utnyttet. Det er fordi det er en rekke viktig informasjon som CVSS-poengsummen ikke gir.
"Altfor ofte ser ikke bedrifter lenger enn til CVSS-grunnkjernen for å bestemme oppdateringsprioritet," sa han. "Men CVSS ser egentlig ikke på utnyttelsesevne, eller om en sårbarhet sannsynligvis vil bli brukt i naturen. CVSS forteller deg ikke om feilen finnes i 15 systemer eller i 15 millioner systemer. Og det står ikke om det er på offentlig tilgjengelige servere.»
Han la til, "Og viktigst av alt, det sier ikke om feilen er tilstede i et system som er kritisk for din spesifikke virksomhet."
Derfor, selv om en feil kan ha en kritisk vurdering på 10 av 10 på CVSS-skalaen, kan dens sanne innvirkning være mye mindre bekymringsfull enn den kritiske etiketten tilsier.
"En uautentisert ekstern kjøring av kode (RCE) feil i en e-postserver som Microsoft Exchange kommer til å generere mye interesse fra utnyttelsesforfattere," sa han. "En uautentisert RCE-feil i en e-postserver som Squirrel Mail kommer sannsynligvis ikke til å generere like mye oppmerksomhet."
For å fylle ut de kontekstuelle hullene, henvender sikkerhetsteam seg ofte til leverandørråd – som, bemerket Childs, har sitt eget skarpe problem: De praktiserer ofte sikkerhet gjennom uklarhet.
Microsoft Patch Tuesday Advisories mangler detaljer
I 2021 tok Microsoft avgjørelsen for å fjerne sammendrag
fra sikkerhetsoppdateringsveiledninger, i stedet for å informere brukerne om at CVSS-poengsum ville være tilstrekkelig for prioritering – en endring som Childs slo opp.
"Endringen fjerner konteksten som er nødvendig for å bestemme risiko," sa han. "Dumper for eksempel en informasjonsavsløringsfeil tilfeldig minne eller PII? Eller hva omgås for en sikkerhetsfunksjon? Informasjonen i disse oppskriftene er inkonsekvent og av varierende kvalitet, til tross for nesten universell kritikk av endringen.»
I tillegg til at Microsoft enten «fjerner eller skjuler informasjon i oppdateringer som pleide å gi tydelig veiledning», er det nå vanskeligere å bestemme grunnleggende Patch Tuesday-informasjon, for eksempel hvor mange feil som blir rettet hver måned.
"Nå må du telle deg selv, og det er faktisk noe av det vanskeligste jeg gjør," bemerket Childs.
Dessuten er informasjonen om hvor mange sårbarheter som er under aktivt angrep eller offentlig kjent fortsatt tilgjengelig, men begravd i bulletinene nå.
«Som et eksempel, med 121 CVE-er blir lappet denne måneden, det er litt vanskelig å grave gjennom dem alle for å se etter hvilke som er under aktivt angrep,” sa Childs. "I stedet stoler folk nå på andre informasjonskilder som blogger og presseartikler, i stedet for det som bør være autoritativ informasjon fra leverandøren for å hjelpe med å bestemme risiko."
Det skal bemerkes at Microsoft har doblet seg på endringen. I en samtale med Dark Reading hos Black Hat USA, sa konserndirektøren for Microsofts sikkerhetsresponssenter, Aanchal Gupta, at selskapet bevisst har bestemt seg for å begrense informasjonen den i utgangspunktet gir med sine CVE-er for å beskytte brukerne. Mens Microsoft CVE-er gir informasjon om alvorlighetsgraden av feilen, og sannsynligheten for at den blir utnyttet (og om den blir utnyttet aktivt), vil selskapet være fornuftig om hvordan det frigir informasjon om sårbarhetsutnyttelse, sa hun.
Målet er å gi sikkerhetsadministrasjoner nok tid til å bruke oppdateringen uten å sette dem i fare, sa Gupta. "Hvis vi i vår CVE ga alle detaljene om hvordan sårbarheter kan utnyttes, vil vi være null-dagers kundene våre," sa hun.
Andre leverandører praktiserer uklarhet
Microsoft er neppe alene om å gi knappe detaljer i feilavsløringer. Childs sa at mange leverandører ikke gir CVE-er i det hele tatt når de slipper en oppdatering.
"De sier bare at oppdateringen løser flere sikkerhetsproblemer," forklarte han. "Hvor mange? Hva er alvorlighetsgraden? Hva er utnyttbarheten? Vi hadde til og med en leverandør som nylig sa til oss spesifikt at vi ikke publiserer offentlige råd om sikkerhetsspørsmål. Det er et dristig trekk.»
I tillegg legger noen leverandører råd bak betalingsmurer eller støttekontrakter, noe som skjuler risikoen ytterligere. Eller de kombinerer flere feilrapporter til en enkelt CVE, til tross for den vanlige oppfatningen om at en CVE representerer en enkelt unik sårbarhet.
"Dette fører til muligens skjevhet for risikoberegningen din," sa han. "For eksempel, hvis du ser på å kjøpe et produkt, og du ser 10 CVEer som har blitt lappet i løpet av en viss tid, kan du komme med en konklusjon om risikoen fra dette nye produktet. Men hvis du visste at de 10 CVE-ene var basert på over 100 feilrapporter, kan du komme til en annen konklusjon."
Placebo-patcher Pestprioritering
Utover avsløringsproblemet, møter sikkerhetsteam også problemer med selve oppdateringene. "Placebo-patcher", som er "fikser" som faktisk ikke gjør noen effektive kodeendringer, er ikke uvanlig, ifølge Childs.
"Så den feilen er fortsatt der og kan utnyttes til trusselaktører, bortsett fra at de nå har blitt informert om det," sa han. "Det er mange grunner til at dette kan skje, men det skjer – insekter så fine at vi lapper dem to ganger.»
Det er også ofte lapper som er ufullstendige; Faktisk, i ZDI-programmet er hele 10 % til 20 % av feilene forskerne analyserer det direkte resultatet av en feil eller ufullstendig oppdatering.
Childs brukte eksemplet med et heltallsoverløpsproblem i Adobe Reader som fører til underdimensjonert heap-allokering, noe som resulterer i bufferoverflyt når for mye data blir skrevet til den.
"Vi forventet at Adobe ville gjøre feilen ved å sette en hvilken som helst verdi over et visst punkt til å være dårlig," sa Childs. "Men det var ikke det vi så, og innen 60 minutter etter utrullingen var det en lappbypass og de måtte lappe igjen. Repriser er ikke bare for TV-serier.»
Hvordan bekjempe patchprioriteringsproblemer
Til syvende og sist når det kommer til oppdateringsprioritering, koker effektiv oppdateringshåndtering og risikoberegning ned til å identifisere høyverdi programvaremål i organisasjonen, samt å bruke tredjepartskilder for å begrense hvilke oppdateringer som vil være de viktigste for et gitt miljø. forskere bemerket.
Spørsmålet om smidighet etter avsløring er imidlertid et annet nøkkelområde for organisasjoner å fokusere på.
I følge Gorenc, seniordirektør i ZDI, kaster nettkriminelle ikke bort tid på å integrere vulner med store angrepsoverflater i løsepengevareverktøysettet eller deres utnyttelsessett, og prøver å bevæpne nylig avslørte feil før selskapene rekker å reparere. Disse såkalte n-dagers feilene er kattemynte for angripere, som i gjennomsnitt kan reversere en feil på så lite som 48 timer.
"For det meste bruker det offensive fellesskapet n-dagers sårbarheter som har offentlige oppdateringer tilgjengelig," sa Gorenc. "Det er viktig for oss å forstå ved avsløring om en feil faktisk kommer til å bli bevæpnet, men de fleste leverandører gir ikke informasjon om utnyttelse."
Dermed må bedriftsrisikovurderinger være dynamiske nok til å endre post-avsløring, og sikkerhetsteam bør overvåke trusselintelligenskilder for å forstå når en feil er integrert i et utnyttelsessett eller løsepengeprogramvare, eller når en utnyttelse blir utgitt på nettet.
I tillegg til det er en viktig tidslinje for bedrifter å vurdere hvor lang tid det tar å faktisk rulle ut en oppdatering på tvers av organisasjonen, og om det er nødressurser som kan tas i bruk om nødvendig.
"Når endringer skjer i trussellandskapet (patchervisjoner, offentlige proof-of-concepts og utnyttelsesutgivelser), bør bedrifter flytte ressursene sine for å møte behovet og bekjempe de siste risikoene," forklarte Gorenc. "Ikke bare den siste publiserte og navngitte sårbarheten. Observer hva som skjer i trussellandskapet, orienter ressursene dine og bestem når du skal handle.»
