Szaleństwo łatek: powiadomienia o błędach dostawców są zepsute, tak zepsute

BLACK HAT USA – Las Vegas – Nadążanie za łataniem luk w zabezpieczeniach jest w najlepszym razie wyzwaniem, ale ustalanie priorytetów, na których błędach należy się skupić, stało się trudniejsze niż kiedykolwiek wcześniej, dzięki pozbawionym kontekstu wynikom CVSS, mętnym informacjom od dostawców i niekompletnym poprawkom, które pozostawić administratorom fałszywe poczucie bezpieczeństwa.

To argument, który Brian Gorenc i Dustin Childs, obaj z Zero Day Initiative (ZDI) firmy Trend Micro, wysunęli ze sceny Black Hat USA podczas swojej sesji:Obliczanie ryzyka w erze niejasności: czytanie między wierszami porad dotyczących bezpieczeństwa".

Od 10,000 roku ZDI ujawnił sprzedawcom z całej branży ponad 2005 XNUMX luk w zabezpieczeniach. W tym czasie menedżer ds. komunikacji ZDI Childs powiedział, że zauważył niepokojący trend, jakim jest spadek jakości poprawek i ograniczenie komunikacji związanej z aktualizacjami zabezpieczeń.

„Prawdziwy problem pojawia się, gdy dostawcy udostępniają wadliwe poprawki lub niedokładne i niepełne informacje na temat tych poprawek, które mogą spowodować, że przedsiębiorstwa błędnie obliczą swoje ryzyko” – zauważył. „Wadliwe łatki mogą być również dobrodziejstwem dla twórców, ponieważ „n-dni” są znacznie łatwiejsze w użyciu niż zero dni”.

Kłopoty z wynikami CVSS i priorytetem łatania

Większość zespołów ds. cyberbezpieczeństwa ma niedobór personelu i jest pod presją, a mantra „zawsze aktualizuj wszystkie wersje oprogramowania” nie zawsze ma sens w przypadku działów, które po prostu nie mają środków na pokrycie nabrzeża. Dlatego ustalanie priorytetów, które poprawki należy zastosować, zgodnie z ich oceną ważności w skali Common Vulnerability Severity Scale (CVSS) stało się dla wielu administratorów alternatywą.

Childs zauważył jednak, że takie podejście jest głęboko wadliwe i może prowadzić do wydatkowania zasobów na błędy, które prawdopodobnie nigdy nie zostaną wykorzystane. Dzieje się tak, ponieważ istnieje wiele krytycznych informacji, których nie zapewnia wynik CVSS.

„Zbyt często przedsiębiorstwa nie patrzą dalej niż rdzeń bazowy CVSS, aby określić priorytet łatania” – powiedział. „Ale CVSS tak naprawdę nie bierze pod uwagę możliwości wykorzystania, ani tego, czy luka może zostać wykorzystana w środowisku naturalnym. CVSS nie mówi, czy błąd występuje w 15 systemach, czy w 15 milionach systemów. I nie mówi, czy znajduje się na publicznie dostępnych serwerach”.

Dodał: „I co najważniejsze, nie mówi, czy błąd występuje w systemie, który ma kluczowe znaczenie dla konkretnego przedsiębiorstwa”.

Tak więc, nawet jeśli błąd może mieć krytyczną ocenę 10 na 10 w skali CVSS, jego prawdziwy wpływ może być znacznie mniej niepokojący niż wskazywałaby etykieta krytyczna.

„Błąd nieuwierzytelnionego zdalnego wykonania kodu (RCE) na serwerze pocztowym, takim jak Microsoft Exchange, wzbudzi duże zainteresowanie ze strony twórców exploitów” – powiedział. „Nieuwierzytelniony błąd RCE na serwerze pocztowym, takim jak Squirrel Mail, prawdopodobnie nie przyciągnie tak dużej uwagi”.

Aby wypełnić luki kontekstowe, zespoły ds. bezpieczeństwa często zwracają się do porad dostawców – które, jak zauważył Childs, mają swój własny rażący problem: często praktykują bezpieczeństwo poprzez ukrywanie.

Wtorkowe porady dotyczące poprawek firmy Microsoft — brak szczegółów

W 2021 roku decyzję podjął Microsoft usunąć podsumowania wykonawcze
z przewodników po aktualizacjach zabezpieczeń, informując zamiast tego użytkowników, że wyniki CVSS byłyby wystarczające do ustalenia priorytetów – zmiana, którą Childs zniszczył.

„Zmiana usuwa kontekst, który jest potrzebny do określenia ryzyka” – powiedział. „Na przykład, czy błąd powodujący ujawnienie informacji powoduje zrzut pamięci losowej lub PII? Lub w przypadku obejścia funkcji bezpieczeństwa, co jest omijane? Informacje zawarte w tych pismach są niespójne i różnej jakości, pomimo niemal powszechnej krytyki zmiany”.

Oprócz tego, że Microsoft „usuwa lub ukrywa informacje w aktualizacjach, które kiedyś generowały jasne wskazówki”, teraz trudniej jest również określić podstawowe informacje dotyczące wtorkowej łaty, takie jak liczba łatanych błędów każdego miesiąca.

„Teraz musisz się policzyć, a to właściwie jedna z najtrudniejszych rzeczy, jakie robię” – zauważył Childs.

Ponadto informacje o tym, ile luk jest aktywnie atakowanych lub znanych publicznie, są nadal dostępne, ale są teraz ukryte w biuletynach.

„Jako przykład z 121 CVE jest łatanych w tym miesiącu, trudno jest przekopać się przez wszystkie z nich, aby znaleźć, które z nich są aktywnie atakowane” – powiedział Childs. „Zamiast tego ludzie polegają teraz na innych źródłach informacji, takich jak blogi i artykuły prasowe, a nie na wiarygodnych informacjach od dostawcy, aby pomóc określić ryzyko”.

Należy zauważyć, że Microsoft podwoiła się na zmianie. W rozmowie z Dark Reading w Black Hat USA, korporacyjny wiceprezes Microsoft Security Response Center, Aanchal Gupta, powiedział, że firma świadomie zdecydowała się ograniczyć informacje, które początkowo dostarcza wraz z CVE w celu ochrony użytkowników. Chociaż CVE firmy Microsoft dostarczają informacji na temat wagi błędu i prawdopodobieństwa jego wykorzystania (i tego, czy jest aktywnie wykorzystywany), firma będzie rozsądna, jeśli chodzi o sposób publikowania informacji o wykorzystaniu luk w zabezpieczeniach, powiedziała.

Celem jest zapewnienie administracji bezpieczeństwa wystarczająco dużo czasu na zastosowanie poprawki bez narażania ich na niebezpieczeństwo, powiedział Gupta. „Jeśli w naszym CVE przedstawimy wszystkie szczegóły dotyczące tego, jak można wykorzystać luki w zabezpieczeniach, będziemy zerwać z naszymi klientami” – powiedziała.

Inni dostawcy praktykują niejasność

Microsoft nie jest osamotniony w dostarczaniu skąpych szczegółów w ujawnianych błędach. Childs powiedział, że wielu dostawców w ogóle nie dostarcza CVE, gdy wypuszczają aktualizację.

„Mówią po prostu, że aktualizacja rozwiązuje kilka problemów związanych z bezpieczeństwem” – wyjaśnił. "Ile? Jaka jest dotkliwość? Jaka jest możliwość wykorzystania? Niedawno nawet sprzedawca powiedział nam konkretnie, że nie publikujemy publicznych porad dotyczących kwestii bezpieczeństwa. To odważne posunięcie”.

Ponadto niektórzy dostawcy umieszczają porady za zapłatami lub umowami wsparcia, jeszcze bardziej zaciemniając ich ryzyko. Lub łączą wiele raportów o błędach w jeden CVE, pomimo powszechnego przekonania, że ​​CVE reprezentuje pojedynczą unikalną lukę.

„To prowadzi do możliwego wypaczenia kalkulacji ryzyka” – powiedział. „Na przykład, jeśli spojrzysz na zakup produktu i zobaczysz 10 CVE, które zostały załatane w określonym czasie, możesz wyciągnąć jeden wniosek dotyczący ryzyka związanego z tym nowym produktem. Gdybyś jednak wiedział, że te 10 CVE było opartych na ponad 100 zgłoszeniach błędów, mógłbyś dojść do innego wniosku.”

Plagi placebo Priorytetyzacja plagi

Oprócz problemu z ujawnieniem, zespoły ds. bezpieczeństwa mają również problemy z samymi łatami. Według Childsa „łatki placebo”, które są „poprawkami”, które w rzeczywistości nie wprowadzają żadnych skutecznych zmian w kodzie, nie są rzadkie.

„Więc ten błąd nadal istnieje i można go wykorzystać do zastraszania aktorów, z wyjątkiem tego, że teraz zostali o nim poinformowani” – powiedział. „Jest wiele powodów, dla których może się to zdarzyć, ale to się zdarza – błędy tak ładne, że łatamy je dwukrotnie.”

Często są też niekompletne poprawki; w rzeczywistości w programie ZDI pełne 10% do 20% błędów analizowanych przez badaczy jest bezpośrednim wynikiem wadliwej lub niekompletnej poprawki.

Childs użył przykładu problemu z przepełnieniem liczby całkowitej w programie Adobe Reader, który prowadzi do zbyt małej alokacji sterty, co skutkuje przepełnieniem bufora, gdy zapisano do niego zbyt dużo danych.

„Oczekiwaliśmy, że Adobe naprawi, ustawiając dowolną wartość powyżej pewnego punktu jako złą” – powiedział Childs. „Ale to nie to, co widzieliśmy, aw ciągu 60 minut od wdrożenia nastąpiło obejście poprawki i musieli ponownie zainstalować poprawkę. Powtórki nie są przeznaczone tylko do programów telewizyjnych”.

Jak walczyć z problemami związanymi z priorytetyzacją patchów?

Ostatecznie, jeśli chodzi o ustalanie priorytetów poprawek, skuteczne zarządzanie poprawkami i obliczanie ryzyka sprowadza się do identyfikacji celów oprogramowania o wysokiej wartości w organizacji, a także korzystania ze źródeł zewnętrznych w celu zawężenia, które poprawki byłyby najważniejsze dla danego środowiska, zauważyli badacze.

Jednak kwestia zwinności po ujawnieniu jest kolejnym kluczowym obszarem, na którym organizacje powinny się skupić.

Według Gorenca, starszego dyrektora w ZDI, cyberprzestępcy nie marnują czasu na integrowanie luk o dużych powierzchniach ataku ze swoimi zestawami narzędzi ransomware lub zestawami exploitów, chcąc wykorzystać nowo ujawnione luki, zanim firmy zdążą je naprawić. Te tak zwane błędy n-day są kocimiętką dla napastników, którzy średnio mogą odtworzyć błąd w ciągu zaledwie 48 godzin.

„W większości obraźliwa społeczność używa n-dniowych luk w zabezpieczeniach, które mają dostępne publiczne łatki” – powiedział Gorenc. „Ważne jest, abyśmy przy ujawnieniu rozumieli, czy błąd rzeczywiście zostanie wykorzystany, ale większość dostawców nie dostarcza informacji dotyczących możliwości wykorzystania”.

Dlatego oceny ryzyka korporacyjnego muszą być wystarczająco dynamiczne, aby zmienić się po ujawnieniu, a zespoły ds. bezpieczeństwa powinny monitorować źródła analizy zagrożeń, aby zrozumieć, kiedy błąd jest zintegrowany z zestawem exploitów lub oprogramowaniem ransomware lub kiedy exploit jest udostępniany online.

Oprócz tego ważnym harmonogramem, który należy wziąć pod uwagę dla przedsiębiorstw, jest to, ile czasu zajmuje faktyczne wdrożenie poprawki w całej organizacji oraz czy istnieją zasoby awaryjne, które można wykorzystać w razie potrzeby.

„Kiedy w krajobrazie zagrożeń zachodzą zmiany (aktualizacje poprawek, publiczne weryfikacje koncepcji i wydania exploitów), przedsiębiorstwa powinny przenosić swoje zasoby, aby zaspokoić potrzeby i zwalczać najnowsze zagrożenia” – wyjaśnił Gorenc. „Nie tylko ostatnia opublikowana i nazwana luka w zabezpieczeniach. Obserwuj, co dzieje się w krajobrazie zagrożeń, zorientuj swoje zasoby i zdecyduj, kiedy podjąć działania”.