Microsoft: Ne želimo, da bi naše stranke postale ničelne

BLACK HAT ZDA – Las Vegas – Najvišji varnostni direktor Microsofta je danes zagovarjal politiko podjetja o razkrivanju ranljivosti, ki zagotavlja dovolj informacij za varnostne ekipe, da lahko sprejmejo premišljene odločitve o popravkih, ne da bi jih izpostavili napadom akterjev groženj, ki želijo hitro obnoviti popravke za izkoriščanje. .

V pogovoru z Dark Reading pri Black Hat USA je korporativni podpredsednik Microsoftovega varnostno odzivnega centra Aanchal Gupta dejal, da se je podjetje zavestno odločilo omejiti informacije, ki jih na začetku zagotavlja s svojimi CVE, da zaščiti uporabnike. Medtem ko Microsoftovi CVE-ji zagotavljajo informacije o resnosti hrošča in verjetnosti, da bo izkoriščen (in ali se aktivno izkorišča), bo podjetje preudarno razkrilo, kako objavi informacije o izkoriščanju ranljivosti.

Za večino ranljivosti je Microsoftov trenutni pristop dati 30-dnevno okno od razkritja popravka, preden izpolni CVE z več podrobnostmi o ranljivosti in možnosti njenega izkoriščanja, pravi Gupta. Cilj je dati varnostnim upravam dovolj časa, da uporabijo popravek, ne da bi jih ogrozili, pravi. »Če smo v našem CVE zagotovili vse podrobnosti o tem, kako je mogoče izkoristiti ranljivosti, bomo naše stranke popolnoma varne,« pravi Gupta.

Redke informacije o ranljivosti?

Microsoft - tako kot drugi veliki prodajalci programske opreme - se je soočil s kritikami varnostnih raziskovalcev zaradi razmeroma redkih informacij, ki jih podjetje objavi z razkritji ranljivosti. Od novembra 2020 Microsoft uporablja ogrodje CVSS (Common Vulnerability Scoring System) za opiše ranljivosti v vodniku za varnostne posodobitve. Opisi zajemajo atribute, kot so vektor napada, kompleksnost napada in vrste privilegijev, ki jih lahko ima napadalec. Posodobitve zagotavljajo tudi rezultat za razvrstitev glede na resnost.

Nekateri pa so posodobitve opisali kot skrivnostne in brez kritičnih informacij o komponentah, ki se izkoriščajo, ali o tem, kako bi jih lahko izkoristili. Opazili so, da trenutna Microsoftova praksa uvrščanja ranljivosti v skupino »Izkoriščanje je bolj verjetno« ali »Izkoriščanje manj verjetno« ne zagotavlja dovolj informacij za sprejemanje odločitev o prednostnem razvrščanju na podlagi tveganja.

Nedavno se je Microsoft soočil tudi z nekaj kritikami zaradi domnevnega pomanjkanja preglednosti glede varnostnih ranljivosti v oblaku. Junija je izvršni direktor podjetja Tenable Amit Yoran podjetje obtožil, da »tiho« popravljanje nekaj ranljivosti Azure ki so jih raziskovalci podjetja Tenable odkrili in poročali.

"Obe ti ranljivosti je lahko izkoristil vsakdo, ki je uporabljal storitev Azure Synapse," je zapisal Yoran. »Po oceni situacije se je Microsoft odločil, da bo tiho popravil eno od težav in zmanjšal tveganje,« in brez obvestila strank.

Yoran je opozoril na druge prodajalce, kot sta Orca Security in Wiz, ki so naleteli na podobne težave, potem ko so Microsoftu razkrili ranljivosti v Azure.

Skladno s pravilniki MITRE CVE

Gupta pravi, da je Microsoftova odločitev o tem, ali naj izda CVE za ranljivost, skladna s politikami programa CVE podjetja MITRE.

»V skladu z njihovo politiko nam ni treba izdati CVE, če stranka ne potrebuje nobenega ukrepanja,« pravi. "Cilj je ohraniti nizko raven hrupa za organizacije in jih ne obremenjevati z informacijami, s katerimi lahko naredijo malo."

»Ni vam treba poznati 50 stvari, ki jih Microsoft počne, da vsakodnevno skrbi za varnost,« ugotavlja.

Gupta opozarja na lanskoletno razkritje Wiza štirih kritičnih ranljivosti v Komponenta Open Management Infrastructure (OMI) v Azure kot primer tega, kako Microsoft obravnava situacije, ko lahko ranljivost oblaka vpliva na stranke. V tej situaciji je bila Microsoftova strategija neposreden stik s prizadetimi organizacijami.

»Kar počnemo, je pošiljanje obvestil ena na ena strankam, ker ne želimo, da se te informacije izgubijo,« pravi. »Izdamo CVE, vendar pošljemo tudi obvestilo strankam, ker če je v okolju da ste odgovorni za popravilo, priporočamo, da ga hitro popravite.«

Včasih se organizacija morda sprašuje, zakaj ni bila obveščena o težavi – to je verjetno zato, ker nanjo ne vpliva, pravi Gupta.