Microsoft: nie chcemy, aby nasi klienci nie mieli dnia zerowego

BLACK HAT USA — Las Vegas — Czołowy dyrektor ds. bezpieczeństwa firmy Microsoft bronił dziś firmowych zasad ujawniania luk w zabezpieczeniach jako dostarczających wystarczającej ilości informacji dla zespołów ds. bezpieczeństwa, aby mogły podejmować świadome decyzje dotyczące łat bez narażania ich na atak ze strony cyberprzestępców, którzy chcą szybko zastosować inżynierię wsteczną łatek do wykorzystania .

W rozmowie z Dark Reading w Black Hat USA, korporacyjny wiceprezes Microsoft Security Response Center, Aanchal Gupta, powiedział, że firma świadomie zdecydowała się ograniczyć informacje, które początkowo dostarcza wraz z CVE w celu ochrony użytkowników. Chociaż CVE firmy Microsoft dostarczają informacji na temat wagi błędu oraz prawdopodobieństwa jego wykorzystania (i tego, czy jest aktywnie wykorzystywany), firma będzie rozsądna, jeśli chodzi o sposób publikowania informacji o wykorzystaniu luk w zabezpieczeniach.

W przypadku większości luk obecne podejście Microsoftu polega na pozostawieniu 30-dniowego okna od ujawnienia łaty, zanim wypełni CVE dodatkowymi szczegółami na temat luki i możliwości jej wykorzystania, mówi Gupta. Celem jest zapewnienie administracji bezpieczeństwa wystarczająco dużo czasu na zastosowanie poprawki bez narażania ich na niebezpieczeństwo, mówi. „Jeżeli w naszym CVE przedstawimy wszystkie szczegóły dotyczące sposobów wykorzystania luk w zabezpieczeniach, nie będziemy stawiać naszych klientów na zero”, mówi Gupta.

Rzadkie informacje o luce w zabezpieczeniach?

Microsoft — podobnie jak inni główni dostawcy oprogramowania — spotkał się z krytyką badaczy bezpieczeństwa za stosunkowo skąpe informacje, które firma publikuje wraz z ujawnionymi lukami w zabezpieczeniach. Od listopada 2020 r. firma Microsoft używa platformy Common Vulnerability Scoring System (CVSS) do: opisz luki w swoim przewodniku po aktualizacji zabezpieczeń. Opisy obejmują atrybuty, takie jak wektor ataku, złożoność ataku i rodzaj uprawnień, jakie może mieć osoba atakująca. Aktualizacje zapewniają również punktację, aby przekazać ranking istotności.

Jednak niektórzy opisali aktualizacje jako zaszyfrowane i pozbawione krytycznych informacji na temat wykorzystywanych komponentów lub sposobów ich wykorzystania. Zauważyli, że obecna praktyka Microsoftu polegająca na umieszczaniu podatności w wiaderku „wykorzystanie bardziej prawdopodobne” lub „wykorzystanie mniej prawdopodobne” nie dostarcza wystarczających informacji do podejmowania decyzji o ustalaniu priorytetów w oparciu o ryzyko.

Niedawno Microsoft spotkał się również z krytyką za rzekomy brak przejrzystości w zakresie luk w zabezpieczeniach chmury. W czerwcu dyrektor generalny Tenable Amit Yoran oskarżył firmę o „po cichu” łatanie kilku luk w zabezpieczeniach Azure że badacze Tenable odkryli i zgłosili.

„Obie te luki mogły zostać wykorzystane przez każdego, kto korzystał z usługi Azure Synapse” — napisał Yoran. „Po ocenie sytuacji Microsoft postanowił po cichu naprawić jeden z problemów, bagatelizując ryzyko” i bez powiadamiania klientów.

Yoran wskazał na innych dostawców — takich jak Orca Security i Wiz — którzy napotkali podobne problemy po tym, jak ujawnili firmie Microsoft luki w zabezpieczeniach platformy Azure.

Zgodne z politykami CVE MITRE

Gupta mówi, że decyzja Microsoftu, czy wydać CVE dla luki w zabezpieczeniach, jest zgodna z polityką programu CVE MITRE.

„Zgodnie z ich polityką, jeśli nie są potrzebne żadne działania klienta, nie jesteśmy zobowiązani do wystawiania CVE” – mówi. „Celem jest utrzymanie niskiego poziomu hałasu dla organizacji i nie obciążanie ich informacjami, z którymi niewiele mogą zrobić”.

„Nie musisz znać 50 rzeczy, które Microsoft robi, aby zapewnić bezpieczeństwo na co dzień”, zauważa.

Gupta wskazuje na zeszłoroczne ujawnienie przez Wiz czterech krytycznych luk w zabezpieczeniach Komponent Open Management Infrastructure (OMI) na platformie Azure jako przykład tego, jak firma Microsoft radzi sobie z sytuacjami, w których luka w chmurze może mieć wpływ na klientów. W takiej sytuacji strategia Microsoftu polegała na bezpośrednim skontaktowaniu się z organizacjami dotkniętymi tym problemem.

„To, co robimy, to wysyłanie indywidualnych powiadomień do klientów, ponieważ nie chcemy, aby te informacje zostały utracone”, mówi „Wystawiamy CVE, ale wysyłamy również powiadomienie do klientów, ponieważ jeśli jest w środowisku że jesteś odpowiedzialny za łatanie, zalecamy szybkie łatanie.”

Czasami organizacja może się zastanawiać, dlaczego nie została powiadomiona o problemie — prawdopodobnie dlatego, że nie ma na nią wpływu, mówi Gupta.