BLACK HAT EUA — Las Vegas — Um importante executivo de segurança da Microsoft defendeu hoje as políticas de divulgação de vulnerabilidades da empresa como fornecendo informações suficientes para as equipes de segurança tomarem decisões informadas sobre patches sem colocá-las em risco de ataque de agentes de ameaças que buscam rapidamente fazer engenharia reversa de patches para exploração .
Em conversa com Dark Reading na Black Hat USA, o vice-presidente corporativo do Security Response Center da Microsoft, Aanchal Gupta, disse que a empresa decidiu conscientemente limitar as informações que fornece inicialmente com seus CVEs para proteger os usuários. Embora os CVEs da Microsoft forneçam informações sobre a gravidade do bug e a probabilidade de ele ser explorado (e se está sendo explorado ativamente), a empresa será criteriosa sobre como divulgará informações sobre exploração de vulnerabilidades.
Para a maioria das vulnerabilidades, a abordagem atual da Microsoft é fornecer uma janela de 30 dias a partir da divulgação do patch antes de preencher o CVE com mais detalhes sobre a vulnerabilidade e sua explorabilidade, diz Gupta. O objetivo é dar às administrações de segurança tempo suficiente para aplicar o patch sem prejudicá-las, diz ela. “Se, em nosso CVE, fornecermos todos os detalhes de como as vulnerabilidades podem ser exploradas, estaremos zerando nossos clientes”, diz Gupta.
Informações esparsas sobre vulnerabilidade?
A Microsoft – assim como outros grandes fornecedores de software – tem enfrentado críticas de pesquisadores de segurança pelas informações relativamente escassas que a empresa divulga com suas divulgações de vulnerabilidades. Desde novembro de 2020, a Microsoft tem usado a estrutura Common Vulnerability Scoring System (CVSS) para descrever vulnerabilidades em seu guia de atualização de segurança. As descrições abrangem atributos como vetor de ataque, complexidade do ataque e o tipo de privilégios que um invasor pode ter. As atualizações também fornecem uma pontuação para transmitir a classificação de gravidade.
No entanto, alguns descreveram as atualizações como enigmáticas e sem informações críticas sobre os componentes que estão sendo explorados ou como podem ser explorados. Eles observaram que a prática atual da Microsoft de colocar vulnerabilidades em um grupo de “Exploração mais provável” ou “Exploração menos provável” não fornece informações suficientes para tomar decisões de priorização baseadas em riscos.
Mais recentemente, a Microsoft também enfrentou algumas críticas pela sua alegada falta de transparência em relação às vulnerabilidades de segurança na nuvem. Em junho, o CEO da Tenable, Amit Yoran, acusou a empresa de corrigindo “silenciosamente” algumas vulnerabilidades do Azure que os pesquisadores da Tenable descobriram e relataram.
“Ambas as vulnerabilidades podem ser exploradas por qualquer pessoa que use o serviço Azure Synapse”, escreveu Yoran. “Depois de avaliar a situação, a Microsoft decidiu corrigir silenciosamente um dos problemas, minimizando o risco”, e sem notificar os clientes.
Yoran apontou outros fornecedores – como Orca Security e Wiz – que encontraram problemas semelhantes depois de divulgarem vulnerabilidades no Azure para a Microsoft.
Consistente com as políticas CVE do MITRE
Gupta diz que a decisão da Microsoft sobre emitir um CVE para uma vulnerabilidade é consistente com as políticas do programa CVE do MITRE.
“De acordo com a política deles, se não for necessária nenhuma ação do cliente, não seremos obrigados a emitir um CVE”, diz ela. “O objetivo é manter o nível de ruído baixo para as organizações e não sobrecarregá-las com informações com as quais pouco podem fazer.”
“Você não precisa saber as 50 coisas que a Microsoft está fazendo para manter tudo seguro no dia a dia”, observa ela.
Gupta aponta para a divulgação do ano passado por Wiz de quatro vulnerabilidades críticas no Componente Open Management Infrastructure (OMI) no Azure como um exemplo de como a Microsoft lida com situações em que uma vulnerabilidade na nuvem pode afetar os clientes. Nessa situação, a estratégia da Microsoft foi contactar diretamente as organizações afetadas.
“O que fazemos é enviar notificações individuais aos clientes porque não queremos que esta informação se perca”, diz ela “Emitimos um CVE, mas também enviamos um aviso aos clientes porque se estiver num ambiente que você é responsável pela correção, recomendamos que você a corrija rapidamente.”
Às vezes, uma organização pode se perguntar por que não foi notificada sobre um problema – provavelmente porque não foi afetada, diz Gupta.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
