Безумие патчей: уведомления об ошибках поставщиков сломаны, так сломаны

BLACK HAT USA – Лас-Вегас – Выполнение исправлений уязвимостей в системе безопасности в лучшем случае является сложной задачей, но расставить приоритеты, на каких ошибках следует сосредоточиться, стало труднее, чем когда-либо прежде, из-за отсутствия контекста оценок CVSS, мутных рекомендаций поставщиков и неполных исправлений, которые оставить администраторов с ложным чувством безопасности.

Это аргумент, который Брайан Горенц и Дастин Чайлдс, оба из Trend Micro Zero Day Initiative (ZDI), выдвинули со сцены Black Hat USA во время своей сессии: «Расчет риска в эпоху безвестности: чтение между строк советов по безопасности".

С 10,000 г. компания ZDI сообщила поставщикам отрасли о более чем 2005 XNUMX уязвимостей. За это время менеджер ZDI по связям с общественностью Чайлдс заметил тревожную тенденцию, заключающуюся в снижении качества исправлений и уменьшении объемов сообщений, связанных с обновлениями безопасности.

«Настоящая проблема возникает, когда поставщики выпускают ошибочные исправления или предоставляют неточную и неполную информацию об этих исправлениях, что может привести к тому, что предприятия неправильно рассчитывают свой риск», — отметил он. «Неисправные исправления также могут быть благом для авторов эксплойтов, поскольку «n-days» намного проще в использовании, чем нулевые дни».

Проблема с оценками CVSS и приоритетом исправления

Большинство групп кибербезопасности недоукомплектованы персоналом и находятся под давлением, а мантра «всегда обновлять все версии программного обеспечения» не всегда имеет смысл для отделов, у которых просто нет ресурсов, чтобы прикрыть передний край. Вот почему приоритезация исправлений в соответствии с их рейтингом серьезности по Общей шкале серьезности уязвимостей (CVSS) стала запасным вариантом для многих администраторов.

Однако Чайлдс отметил, что этот подход глубоко ошибочен и может привести к тому, что ресурсы будут потрачены на ошибки, которые вряд ли когда-либо будут использованы. Это связано с тем, что существует масса критически важной информации, которую оценка CVSS не предоставляет.

«Слишком часто предприятия не ограничиваются базовым ядром CVSS для определения приоритета исправлений», — сказал он. «Но CVSS на самом деле не рассматривает возможность эксплуатации или возможность использования уязвимости в реальных условиях. CVSS не сообщает вам, существует ли ошибка в 15 системах или в 15 миллионах систем. И не сказано, находится ли он на общедоступных серверах».

Он добавил: «И самое главное, это не говорит о том, присутствует ли ошибка в системе, которая имеет решающее значение для вашего конкретного предприятия».

Таким образом, даже несмотря на то, что ошибка может иметь критический рейтинг 10 из 10 по шкале CVSS, ее истинное влияние может быть гораздо менее серьезным, чем указывает этот критический рейтинг.

«Ошибка удаленного выполнения кода без проверки подлинности (RCE) на сервере электронной почты, таком как Microsoft Exchange, вызовет большой интерес со стороны авторов эксплойтов», — сказал он. «Ошибка RCE без проверки подлинности на почтовом сервере, таком как Squirrel Mail, вероятно, не привлечет столько внимания».

Чтобы заполнить контекстуальные пробелы, группы безопасности часто обращаются к рекомендациям поставщиков, у которых, как отметил Чайлдс, есть своя вопиющая проблема: они часто практикуют безопасность через неясность.

В бюллетенях Microsoft по вторникам отсутствуют подробности

В 2021 году Microsoft приняла решение удалить исполнительные резюме
из руководств по обновлениям безопасности, вместо этого информируя пользователей о том, что оценок CVSS будет достаточно для определения приоритетов — изменение, которое Чайлдс взорвал.

«Это изменение удаляет контекст, необходимый для определения риска», — сказал он. «Например, сбрасывает ли ошибка раскрытия информации случайную память или PII? Или для обхода функции безопасности, что обходится? Информация в этих статьях непоследовательна и разного качества, несмотря на почти всеобщую критику изменений».

В дополнение к тому, что Microsoft «удаляет или скрывает информацию в обновлениях, которые раньше давали четкие указания», теперь также сложнее определить основную информацию о вторниках исправлений, например, сколько ошибок исправляет каждый месяц.

«Теперь вы должны считать себя, и это на самом деле одна из самых сложных вещей, которые я делаю», — отметил Чайлдс.

Кроме того, информация о том, сколько уязвимостей находится под активной атакой или общеизвестно, по-прежнему доступна, но теперь скрыта в бюллетенях.

«Например, с В этом месяце будет исправлено 121 CVE, довольно сложно просмотреть их все, чтобы найти, какие из них находятся под активной атакой», — сказал Чайлдс. «Вместо этого люди теперь полагаются на другие источники информации, такие как блоги и статьи в прессе, а не на то, что должно быть авторитетной информацией от поставщика, чтобы помочь определить риск».

Следует отметить, что Microsoft удвоил ставку на изменение. В беседе с Dark Reading в Black Hat USA корпоративный вице-президент Microsoft Security Response Center Анчал Гупта сказал, что компания сознательно решила ограничить информацию, которую она первоначально предоставляет с помощью своих CVE, для защиты пользователей. По ее словам, хотя Microsoft CVE предоставляет информацию о серьезности ошибки и вероятности ее использования (и о том, активно ли она используется), компания будет осмотрительна в отношении того, как она публикует информацию об использовании уязвимостей.

По словам Гупты, цель состоит в том, чтобы дать службам безопасности достаточно времени, чтобы применить патч, не подвергая их опасности. «Если в нашем CVE мы предоставим все подробности о том, как можно использовать уязвимости, мы будем работать с нулевым днем ​​для наших клиентов», — сказала она.

Другие поставщики практикуют неясность

Microsoft далеко не единственная компания, предоставляющая скудные подробности в сообщениях об ошибках. Чайлдс сказал, что многие поставщики вообще не предоставляют CVE при выпуске обновления.

«Они просто говорят, что обновление устраняет несколько проблем с безопасностью», — пояснил он. "Как много? Какова серьезность? Какова возможность эксплуатации? У нас даже был поставщик, который недавно сказал нам, что мы не публикуем публичные рекомендации по вопросам безопасности. Это смелый шаг».

Кроме того, некоторые поставщики размещают рекомендации за платным доступом или контрактами на поддержку, что еще больше скрывает их риски. Или они объединяют несколько отчетов об ошибках в один CVE, несмотря на распространенное мнение, что CVE представляет собой одну уникальную уязвимость.

«Это может привести к искажению вашего расчета риска», — сказал он. «Например, если вы смотрите на покупку продукта и видите 10 CVE, которые были исправлены за определенное время, вы можете сделать один вывод о риске, связанном с этим новым продуктом. Однако если бы вы знали, что эти 10 CVE основаны на более чем 100 отчетах об ошибках, вы могли бы прийти к другому выводу».

Плацебо устраняет приоритизацию чумы

Помимо проблемы раскрытия информации, службы безопасности также сталкиваются с проблемами, связанными с самими исправлениями. По словам Чайлдса, «заплаты-плацебо», которые на самом деле не вносят эффективных изменений в код, не редкость.

«Таким образом, эта ошибка все еще существует и может быть использована злоумышленниками, за исключением того, что они были проинформированы об этом», — сказал он. «Есть много причин, почему это могло произойти, но это случается - такие приятные баги, что мы исправляем их дважды».

Также часто бывают неполные исправления; на самом деле, в программе ZDI от 10% до 20% ошибок, анализируемых исследователями, являются прямым результатом ошибочного или неполного патча.

Чайлдс привел пример проблемы целочисленного переполнения в Adobe Reader, приводящей к выделению недостаточного размера кучи, что приводит к переполнению буфера, когда в него записывается слишком много данных.

«Мы ожидали, что Adobe сделает исправление, установив любое значение выше определенного значения как плохое», — сказал Чайлдс. «Но это не то, что мы видели, и в течение 60 минут после развертывания был обход исправления, и им пришлось снова устанавливать исправление. Повторы нужны не только телешоу».

Как бороться с проблемами приоритизации исправлений

В конечном счете, когда дело доходит до приоритизации исправлений, эффективное управление исправлениями и расчет рисков сводятся к выявлению ценных программных целей внутри организации, а также к использованию сторонних источников для определения того, какие исправления будут наиболее важными для той или иной среды. отмечают исследователи.

Тем не менее, вопрос оперативности после раскрытия является еще одной ключевой областью, на которой организации должны сосредоточиться.

По словам Горенца, старшего директора ZDI, киберпреступники, не теряя времени, интегрируют уязвимости с большими поверхностями атаки в свои наборы инструментов для программ-вымогателей или свои наборы эксплойтов, стремясь использовать недавно обнаруженные недостатки до того, как компании успеют их исправить. Эти так называемые ошибки n-day являются кошачьей мятой для злоумышленников, которые в среднем могут перепроектировать ошибку всего за 48 часов.

«По большей части наступательное сообщество использует уязвимости n-day, для которых доступны общедоступные исправления», — сказал Горенц. «Для нас важно понять при раскрытии, действительно ли ошибка будет использована в качестве оружия, но большинство поставщиков не предоставляют информацию о возможностях использования».

Таким образом, оценки корпоративных рисков должны быть достаточно динамичными, чтобы изменяться после раскрытия информации, а группы безопасности должны отслеживать источники информации об угрозах, чтобы понять, когда ошибка интегрируется в набор эксплойтов или программу-вымогатель, или когда эксплойт публикуется в Интернете.

Вдобавок к этому важными сроками, которые предприятия должны учитывать, является то, сколько времени требуется для фактического развертывания исправления в организации, и есть ли ресурсы для экстренных случаев, которые можно задействовать в случае необходимости.

«Когда в ландшафте угроз происходят изменения (пересмотры исправлений, общедоступные проверки концепции и выпуски эксплойтов), предприятия должны перераспределять свои ресурсы для удовлетворения потребности и борьбы с последними рисками», — пояснил Горенц. «Не только последняя опубликованная и названная уязвимость. Наблюдайте за тем, что происходит в ландшафте угроз, ориентируйте свои ресурсы и решайте, когда действовать».