BLACK HAT USA – Las Vegas – Att hålla jämna steg med korrigering av säkerhetssårbarheter är i bästa fall utmanande, men att prioritera vilka buggar som ska fokuseras på har blivit svårare än någonsin tidigare, tack vare CVSS-resultat som saknar sammanhang, leriga leverantörsrådgivningar och ofullständiga korrigeringar som lämna administratörer med en falsk känsla av säkerhet.
Det är argumentet som Brian Gorenc och Dustin Childs, båda med Trend Micros Zero Day Initiative (ZDI), framförde från scenen i Black Hat USA under sin session, "Beräkna risk i en tidevarv av dunkel: Läsa mellan raderna av säkerhetsrådgivning. "
ZDI har avslöjat mer än 10,000 2005 sårbarheter för leverantörer över hela branschen sedan XNUMX. Under den tiden sa ZDI:s kommunikationschef Childs att han har märkt en oroande trend, vilket är en minskning av patchkvalitet och minskning av kommunikationen kring säkerhetsuppdateringar.
"Det verkliga problemet uppstår när leverantörer släpper felaktiga patchar, eller felaktig och ofullständig information om dessa patchar som kan få företag att felbedöma sin risk," noterade han. "Felaktiga patchar kan också vara en välsignelse för att utnyttja författare, eftersom 'n-dagar' är mycket lättare att använda än noll-dagar."
Problemet med CVSS-poäng och patchningsprioritet
De flesta cybersäkerhetsteam är underbemannade och under press, och mantrat "håll alltid alla programvaruversioner uppdaterade" är inte alltid vettigt för avdelningar som helt enkelt inte har resurserna att täcka vattnet. Det är därför det har blivit en reserv för många administratörer att prioritera vilka patchar som ska tillämpas enligt deras svårighetsgrad i Common Vulnerability Severity Scale (CVSS).
Childs noterade dock att detta tillvägagångssätt är djupt bristfälligt och kan leda till att resurser spenderas på buggar som sannolikt inte någonsin kommer att utnyttjas. Det beror på att det finns en mängd viktig information som CVSS-poängen inte ger.
"Alltför ofta letar företag inte längre än CVSS-baskärnan för att bestämma patchningsprioritet", sa han. "Men CVSS ser inte riktigt på exploateringsbarhet, eller om en sårbarhet sannolikt kommer att användas i naturen. CVSS berättar inte om buggen finns i 15 system eller i 15 miljoner system. Och det står inte om det är på offentligt tillgängliga servrar eller inte."
Han tillade, "Och viktigast av allt, det säger inte om buggen finns i ett system som är avgörande för ditt specifika företag."
Så även om en bugg kan ha ett kritiskt betyg på 10 av 10 på CVSS-skalan, kan dess verkliga inverkan vara mycket mindre oroande än vad den kritiska etiketten skulle indikera.
"En oautentiserad fjärrkodexekvering (RCE) bugg i en e-postserver som Microsoft Exchange kommer att generera ett stort intresse från exploateringsskribenter", sa han. "En oautentiserad RCE-bugg i en e-postserver som Squirrel Mail kommer förmodligen inte att generera så mycket uppmärksamhet."
För att fylla i de kontextuella luckorna vänder sig säkerhetsteam ofta till råd från leverantörer – som, noterade Childs, har sina egna påfallande problem: de utövar ofta säkerhet genom dunkel.
Microsoft Patch Tuesday Advisories saknar detaljer
2021 fattade Microsoft beslutet för att ta bort sammanfattningar
från säkerhetsuppdateringsguider, istället för att informera användarna om att CVSS-poäng skulle räcka för prioritering – en förändring som Childs sprängde.
"Förändringen tar bort sammanhanget som behövs för att bestämma risk," sa han. "Till exempel, dumpar en informationsbugg slumpmässigt minne eller PII? Eller vad förbigås för en säkerhetsfunktion? Informationen i dessa skrivningar är inkonsekvent och av varierande kvalitet, trots nästan allmän kritik av förändringen."
Förutom att Microsoft antingen "tar bort eller döljer information i uppdateringar som tidigare gav tydlig vägledning", är det nu också svårare att avgöra grundläggande Patch Tuesday-information, som hur många buggar som korrigeras varje månad.
"Nu måste du räkna dig själv, och det är faktiskt en av de svåraste sakerna jag gör," noterade Childs.
Dessutom är informationen om hur många sårbarheter som är under aktiv attack eller allmänt kända fortfarande tillgänglig, men begravd i bulletinerna nu.
"Som ett exempel, med 121 CVE:er lappas denna månad, det är lite svårt att gräva igenom dem alla för att leta efter vilka som är under aktiv attack, säger Childs. "Istället förlitar sig folk nu på andra informationskällor som bloggar och pressartiklar, snarare än vad som borde vara auktoritativ information från leverantören för att hjälpa till att avgöra risker."
Det bör noteras att Microsoft har fördubblats på förändringen. I en konversation med Dark Reading på Black Hat USA sa företagets vice vd för Microsofts Security Response Center, Aanchal Gupta, att företaget medvetet har beslutat att begränsa informationen som det tillhandahåller initialt med sina CVE:er för att skydda användarna. Medan Microsoft CVE:er tillhandahåller information om hur allvarligt felet är, och sannolikheten för att det utnyttjas (och om det utnyttjas aktivt), kommer företaget att vara klokt på hur det släpper information om sårbarhet, sa hon.
Målet är att ge säkerhetsadministrationerna tillräckligt med tid för att applicera patchen utan att äventyra dem, sa Gupta. "Om vi i vår CVE tillhandahåller alla detaljer om hur sårbarheter kan utnyttjas, kommer vi att nolla våra kunder", sa hon.
Andra leverantörer utövar obscurity
Microsoft är knappast ensamt om att tillhandahålla knappa detaljer i felavslöjande. Childs sa att många leverantörer inte tillhandahåller CVE alls när de släpper en uppdatering.
"De säger bara att uppdateringen fixar flera säkerhetsproblem," förklarade han. "Hur många? Vad är svårighetsgraden? Vad är exploateringsbarheten? Vi hade till och med en leverantör som nyligen sa specifikt till oss att vi inte publicerar offentliga råd om säkerhetsfrågor. Det är ett djärvt drag.”
Dessutom lägger vissa leverantörer råd bakom betalväggar eller supportavtal, vilket ytterligare döljer deras risker. Eller så kombinerar de flera felrapporter till en enda CVE, trots den vanliga uppfattningen att en CVE representerar en enda unik sårbarhet.
"Detta leder till att din riskberäkning kan skeva," sa han. "Om du till exempel tittar på att köpa en produkt, och du ser 10 CVEs som har korrigerats under en viss tid, kan du komma med en slutsats av risken från denna nya produkt. Men om du visste att de 10 CVE:erna var baserade på 100+ felrapporter, kan du komma till en annan slutsats."
Placeboplåster Pestprioritering
Utöver problemet med avslöjande, möter säkerhetsteam också problem med själva patcharna. "Placebo patchar", som är "fixar" som faktiskt inte gör några effektiva kodändringar, är inte ovanliga, enligt Childs.
"Så den buggen finns fortfarande kvar och kan utnyttjas för att hota aktörer, förutom nu att de har blivit informerade om det," sa han. "Det finns många anledningar till att detta kan hända, men det händer – buggar så fina att vi lappar dem två gånger.”
Det finns också ofta plåster som är ofullständiga; Faktum är att i ZDI-programmet är hela 10 % till 20 % av de buggar som forskarna analyserar det direkta resultatet av en felaktig eller ofullständig patch.
Childs använde exemplet med ett heltalsspillproblem i Adobe Reader som ledde till underdimensionerad heapallokering, vilket resulterar i ett buffertspill när för mycket data skrivs till den.
"Vi förväntade oss att Adobe skulle fixa genom att ställa in ett värde över en viss punkt som dåligt", sa Childs. "Men det var inte vad vi såg, och inom 60 minuter efter utrullningen fanns det en patchbypass och de var tvungna att patcha igen. Repriser är inte bara för TV-program.”
Hur man bekämpar patchprioritering
I slutändan när det gäller patchprioritering, handlar effektiv patchhantering och riskberäkning ner till att identifiera värdefulla programvarumål inom organisationen samt att använda tredjepartskällor för att begränsa vilka patchar som skulle vara de viktigaste för en given miljö. konstaterade forskare.
Emellertid är frågan om smidighet efter avslöjande ett annat nyckelområde för organisationer att fokusera på.
Enligt Gorenc, senior direktör på ZDI, slösar cyberbrottslingar ingen tid på att integrera vulner med stora attackytor i sina ransomware-verktygsuppsättningar eller deras exploateringssatser, och försöker beväpna nyligen avslöjade brister innan företag hinner korrigera. Dessa så kallade n-dagars buggar är kattmynta för angripare, som i genomsnitt kan omvända en bugg på så lite som 48 timmar.
"För det mesta använder det offensiva samhället n-dagars sårbarheter som har offentliga patchar tillgängliga," sa Gorenc. "Det är viktigt för oss att förstå vid avslöjandet om en bugg faktiskt kommer att beväpnas, men de flesta leverantörer tillhandahåller inte information om exploatering."
Därför måste företagsriskbedömningar vara tillräckligt dynamiska för att ändra efter avslöjande, och säkerhetsteam bör övervaka hotintelligenskällor för att förstå när en bugg är integrerad i ett exploateringspaket eller ransomware, eller när en exploatering släpps online.
I tillägg till det är en viktig tidslinje för företag att överväga hur lång tid det tar att faktiskt rulla ut en patch över hela organisationen, och om det finns nödresurser som kan tas i bruk vid behov.
"När förändringar sker i hotbilden (revisioner av patch, offentliga proof-of-concepts och exploateringsutgåvor), bör företag flytta sina resurser för att möta behovet och bekämpa de senaste riskerna," förklarade Gorenc. "Inte bara den senaste publicerade och namngivna sårbarheten. Observera vad som händer i hotbilden, orientera dina resurser och bestäm när du ska agera.”
