بلیک ہیٹ یو ایس اے - لاس ویگاس - مائیکروسافٹ کے ایک اعلی سیکیورٹی ایگزیکٹو نے آج کمپنی کی کمزوری کے انکشاف کی پالیسیوں کا دفاع کیا کیونکہ سیکیورٹی ٹیموں کو باخبر پیچیدگی کے فیصلے کرنے کے لیے کافی معلومات فراہم کی جاتی ہیں تاکہ انہیں دھمکی آمیز اداکاروں کے حملے کے خطرے میں ڈالے بغیر جو استحصال کے لیے تیزی سے ریورس انجینئر پیچ تلاش کر رہے ہوں۔ .
بلیک ہیٹ یو ایس اے میں ڈارک ریڈنگ کے ساتھ بات چیت میں، مائیکروسافٹ کے سیکیورٹی رسپانس سینٹر کے کارپوریٹ نائب صدر، آنچل گپتا نے کہا کہ کمپنی نے شعوری طور پر فیصلہ کیا ہے کہ وہ صارفین کی حفاظت کے لیے اپنے CVEs کے ساتھ ابتدائی طور پر فراہم کردہ معلومات کو محدود کرے۔ جبکہ مائیکروسافٹ CVEs بگ کی شدت، اور اس سے فائدہ اٹھانے کے امکان (اور کیا اس کا فعال طور پر استحصال کیا جا رہا ہے) کے بارے میں معلومات فراہم کرتے ہیں، کمپنی اس بارے میں فیصلہ کن ہوگی کہ وہ کس طرح کمزوری سے متعلق معلومات کو جاری کرتی ہے۔
گپتا کا کہنا ہے کہ زیادہ تر کمزوریوں کے لیے، مائیکروسافٹ کا موجودہ نقطہ نظر یہ ہے کہ اس سے پہلے کہ وہ CVE میں کمزوری اور اس کے استحصال کے بارے میں مزید تفصیلات کے ساتھ پیچ کے انکشاف سے 30 دن کی ونڈو فراہم کرے۔ وہ کہتی ہیں کہ اس کا مقصد سیکیورٹی انتظامیہ کو پیچ کو لاگو کرنے کے لیے کافی وقت دینا ہے، وہ کہتی ہیں۔ گپتا کہتے ہیں، "اگر، اپنے CVE میں، ہم نے تمام تفصیلات فراہم کیں کہ کس طرح کمزوریوں کا فائدہ اٹھایا جا سکتا ہے، تو ہم اپنے صارفین کو صفر دن دے رہے ہوں گے۔"
ویرل خطرے کی معلومات؟
مائیکروسافٹ - دوسرے بڑے سافٹ ویئر فروشوں کے طور پر - کو سیکیورٹی محققین کی جانب سے نسبتاً کم معلومات کے لیے تنقید کا سامنا کرنا پڑا ہے جو کمپنی اپنی کمزوری کے انکشافات کے ساتھ جاری کرتی ہے۔ نومبر 2020 سے، مائیکروسافٹ کامن ولنریبلٹی اسکورنگ سسٹم (CVSS) کا فریم ورک استعمال کر رہا ہے اس کی سیکیورٹی اپ ڈیٹ گائیڈ میں کمزوریوں کی وضاحت کریں۔. وضاحتیں اٹیک ویکٹر، حملے کی پیچیدگی، اور حملہ آور کو حاصل ہونے والی مراعات جیسی خصوصیات کا احاطہ کرتی ہیں۔ اپ ڈیٹس شدت کی درجہ بندی کو پہنچانے کے لیے ایک سکور بھی فراہم کرتے ہیں۔
تاہم، کچھ لوگوں نے اپ ڈیٹس کو خفیہ قرار دیا ہے اور ان اجزاء کے بارے میں اہم معلومات کا فقدان ہے جن کا استحصال کیا جا رہا ہے یا ان کا استحصال کیسے کیا جا سکتا ہے۔ انہوں نے نوٹ کیا ہے کہ مائیکروسافٹ کی کمزوریوں کو "زیادہ امکانی استحصال" یا "استحصال کم امکان" بالٹی میں ڈالنے کا موجودہ عمل خطرے پر مبنی ترجیحی فیصلے کرنے کے لیے کافی معلومات فراہم نہیں کرتا ہے۔
ابھی حال ہی میں، مائیکروسافٹ کو کلاؤڈ سیکیورٹی کے خطرات سے متعلق شفافیت کی مبینہ کمی کی وجہ سے بھی کچھ تنقید کا سامنا کرنا پڑا ہے۔ جون میں، ٹینیبل کے سی ای او امیت یوران نے کمپنی پر الزام لگایا "خاموشی سے" Azure کی کمزوریوں کے ایک جوڑے کو پیچ کرنا جسے Tenable کے محققین نے دریافت کیا تھا اور رپورٹ کیا تھا۔
یوران نے لکھا، "یہ دونوں کمزوریاں Azure Synapse سروس استعمال کرنے والے کسی بھی شخص کے ذریعے استعمال کی جا سکتی تھیں۔" "صورتحال کا جائزہ لینے کے بعد، مائیکروسافٹ نے خطرے کو کم کرتے ہوئے، خاموشی سے کسی ایک مسئلے کو حل کرنے کا فیصلہ کیا،" اور صارفین کو مطلع کیے بغیر۔
یوران نے دوسرے وینڈرز کی طرف اشارہ کیا - جیسے اورکا سیکیورٹی اور وز - جنہیں مائیکروسافٹ کے لیے Azure میں کمزوریوں کا انکشاف کرنے کے بعد اسی طرح کے مسائل کا سامنا کرنا پڑا تھا۔
MITRE کی CVE پالیسیوں سے ہم آہنگ
گپتا کا کہنا ہے کہ مائیکروسافٹ کا فیصلہ اس بارے میں کہ آیا کسی کمزوری کے لیے CVE جاری کرنا ہے MITRE کے CVE پروگرام کی پالیسیوں سے مطابقت رکھتا ہے۔
"ان کی پالیسی کے مطابق، اگر گاہک کی کارروائی کی ضرورت نہیں ہے، تو ہمیں CVE جاری کرنے کی ضرورت نہیں ہے،" وہ کہتی ہیں۔ "مقصد یہ ہے کہ تنظیموں کے لیے شور کی سطح کو کم رکھا جائے اور ان پر ایسی معلومات کا بوجھ نہ ڈالا جائے جس سے وہ بہت کم کام کر سکتے ہیں۔"
"آپ کو 50 چیزوں کو جاننے کی ضرورت نہیں ہے جو مائیکروسافٹ روزانہ کی بنیاد پر چیزوں کو محفوظ رکھنے کے لیے کر رہا ہے،" وہ نوٹ کرتی ہے۔
گپتا نے وز کے ذریعے پچھلے سال کے انکشاف کی طرف اشارہ کیا جس میں چار اہم خطرات Azure میں اوپن مینجمنٹ انفراسٹرکچر (OMI) جزو مائیکروسافٹ ان حالات کو کیسے ہینڈل کرتا ہے اس کی مثال کے طور پر جہاں بادل کی کمزوری صارفین کو متاثر کر سکتی ہے۔ اس صورت حال میں، مائیکروسافٹ کی حکمت عملی ان تنظیموں سے براہ راست رابطہ کرنا تھی جو متاثر ہیں۔
"ہم جو کرتے ہیں وہ صارفین کو ون ٹو ون اطلاعات بھیجتے ہیں کیونکہ ہم نہیں چاہتے کہ یہ معلومات ضائع ہو جائیں،" وہ کہتی ہیں، "ہم CVE جاری کرتے ہیں، لیکن ہم صارفین کو نوٹس بھی بھیجتے ہیں کیونکہ اگر یہ ماحول میں ہے۔ کہ آپ پیچ کرنے کے ذمہ دار ہیں، ہم آپ کو مشورہ دیتے ہیں کہ آپ اسے جلدی سے پیچ کریں۔"
گپتا کا کہنا ہے کہ کبھی کبھی کوئی تنظیم سوچ سکتی ہے کہ انہیں کسی مسئلے کے بارے میں مطلع کیوں نہیں کیا گیا - اس کا امکان ہے کیونکہ وہ متاثر نہیں ہوئے ہیں۔
