BLACK HAT USA — Las Vegas — En av Microsofts främsta säkerhetschefer försvarade idag företagets policy för avslöjande av sårbarheter som tillhandahåller tillräckligt med information för säkerhetsteam att fatta välgrundade korrigeringsbeslut utan att utsätta dem för attacker från hotaktörer som vill snabbt omvända patchar för utnyttjande .
I en konversation med Dark Reading på Black Hat USA sa företagets vice vd för Microsofts Security Response Center, Aanchal Gupta, att företaget medvetet har beslutat att begränsa informationen som det tillhandahåller initialt med sina CVE:er för att skydda användarna. Medan Microsoft CVE:er tillhandahåller information om hur allvarligt felet är, och sannolikheten för att det utnyttjas (och om det utnyttjas aktivt), kommer företaget att vara klokt på hur det släpper information om sårbarhet.
För de flesta sårbarheter är Microsofts nuvarande tillvägagångssätt att ge ett 30-dagars fönster från patchavslöjande innan det fyller i CVE med mer information om sårbarheten och dess exploateringsbarhet, säger Gupta. Målet är att ge säkerhetsförvaltningarna tillräckligt med tid för att applicera plåstret utan att äventyra dem, säger hon. "Om vi i vår CVE tillhandahåller alla detaljer om hur sårbarheter kan utnyttjas, kommer vi att vara nolldagar för våra kunder", säger Gupta.
Gles sårbarhetsinformation?
Microsoft – som andra stora mjukvaruleverantörer – har mött kritik från säkerhetsforskare för den relativt sparsamma information som företaget släpper med sina sårbarhetsavslöjanden. Sedan november 2020 har Microsoft använt ramverket Common Vulnerability Scoring System (CVSS) för att beskriv sårbarheter i säkerhetsuppdateringsguiden. Beskrivningarna täcker attribut som attackvektor, attackkomplexitet och vilken typ av privilegier en angripare kan ha. Uppdateringarna ger också en poäng för att förmedla svårighetsgraden.
Vissa har dock beskrivit uppdateringarna som kryptiska och saknar kritisk information om komponenterna som utnyttjas eller hur de kan utnyttjas. De har noterat att Microsofts nuvarande praxis att lägga sårbarheter i en "Exploitation More Likely" eller en "Exploitation Less Likely"-hink inte ger tillräckligt med information för att fatta riskbaserade prioriteringsbeslut.
På senare tid har Microsoft också mött en del kritik för sin påstådda brist på transparens när det gäller säkerhetsbrister i molnet. I juni anklagade Tenables vd Amit Yoran företaget för "tyst" patchar ett par Azure-sårbarheter som Tenables forskare hade upptäckt och rapporterat.
"Båda dessa sårbarheter kunde utnyttjas av alla som använde Azure Synapse-tjänsten," skrev Yoran. "Efter att ha utvärderat situationen bestämde sig Microsoft för att tyst korrigera ett av problemen, för att tona ner risken," och utan att meddela kunderna.
Yoran pekade på andra leverantörer – som Orca Security och Wiz – som hade stött på liknande problem efter att de avslöjat sårbarheter i Azure för Microsoft.
Överensstämmer med MITREs CVE-policyer
Gupta säger att Microsofts beslut om huruvida en CVE ska utfärdas för en sårbarhet är förenlig med policyerna för MITREs CVE-program.
"I enlighet med deras policy, om det inte behövs några kundåtgärder, är vi inte skyldiga att utfärda en CVE", säger hon. "Målet är att hålla nere ljudnivån för organisationer och inte belasta dem med information de kan göra lite med."
"Du behöver inte veta de 50 saker som Microsoft gör för att hålla saker säkra på en daglig basis", konstaterar hon.
Gupta pekar på förra årets avslöjande av Wiz av fyra kritiska sårbarheter i Open Management Infrastructure (OMI)-komponent i Azure som ett exempel på hur Microsoft hanterar situationer där en molnsårbarhet kan påverka kunder. I det läget var Microsofts strategi att direkt kontakta organisationer som påverkas.
"Vad vi gör är att skicka en-till-en-aviseringar till kunder eftersom vi inte vill att den här informationen ska gå vilse," säger hon "Vi utfärdar en CVE, men vi skickar också ett meddelande till kunderna eftersom om det är i en miljö att du är ansvarig för att lappa, rekommenderar vi att du lappar det snabbt.”
Ibland kan en organisation undra varför de inte underrättades om ett problem - det är troligtvis för att de inte påverkas, säger Gupta.
