BLACK HAT USA - Las Vegas - Một giám đốc điều hành bảo mật hàng đầu của Microsoft hôm nay đã bảo vệ các chính sách tiết lộ lỗ hổng bảo mật của công ty vì cung cấp đủ thông tin cho các nhóm bảo mật để đưa ra quyết định vá lỗi sáng suốt mà không khiến họ có nguy cơ bị tấn công từ các tác nhân đe dọa đang tìm cách nhanh chóng thiết kế ngược các bản vá để khai thác .
Trong cuộc trò chuyện với Dark Reading tại Black Hat USA, phó chủ tịch tập đoàn của Trung tâm phản hồi bảo mật của Microsoft, Aanchal Gupta, cho biết công ty đã quyết định hạn chế thông tin mà họ cung cấp ban đầu bằng CVE của mình để bảo vệ người dùng. Mặc dù CVE của Microsoft cung cấp thông tin về mức độ nghiêm trọng của lỗi và khả năng nó bị khai thác (và liệu nó có đang được khai thác tích cực hay không), công ty sẽ thận trọng về cách công bố thông tin khai thác lỗ hổng.
Đối với hầu hết các lỗ hổng, cách tiếp cận hiện tại của Microsoft là đưa ra thời hạn 30 ngày kể từ khi tiết lộ bản vá trước khi điền vào CVE với nhiều thông tin chi tiết hơn về lỗ hổng và khả năng khai thác của nó, Gupta nói. Cô nói, mục tiêu là giúp các cơ quan quản lý bảo mật có đủ thời gian để áp dụng bản vá mà không gây nguy hiểm cho họ. Gupta nói: “Nếu trong CVE của chúng tôi cung cấp tất cả các chi tiết về cách khai thác các lỗ hổng bảo mật, chúng tôi sẽ loại bỏ khách hàng của mình”.
Thông tin về lỗ hổng bảo mật thưa thớt?
Microsoft - cũng như các nhà cung cấp phần mềm lớn khác - đã phải đối mặt với sự chỉ trích từ các nhà nghiên cứu bảo mật vì thông tin tương đối thưa thớt mà công ty phát hành cùng với việc tiết lộ lỗ hổng bảo mật. Kể từ tháng 2020 năm XNUMX, Microsoft đã sử dụng khuôn khổ Hệ thống chấm điểm lỗ hổng phổ biến (CVSS) để mô tả các lỗ hổng trong hướng dẫn cập nhật bảo mật của nó. Các mô tả bao gồm các thuộc tính như vectơ tấn công, độ phức tạp của cuộc tấn công và loại đặc quyền mà kẻ tấn công có thể có. Các bản cập nhật cũng cung cấp một điểm số để truyền đạt xếp hạng mức độ nghiêm trọng.
Tuy nhiên, một số người đã mô tả các bản cập nhật là khó hiểu và thiếu thông tin quan trọng về các thành phần đang bị khai thác hoặc cách chúng có thể bị khai thác. Họ đã lưu ý rằng phương pháp hiện tại của Microsoft là đưa các lỗ hổng vào nhóm “Khai thác có nhiều khả năng xảy ra hơn” hoặc nhóm “Khai thác ít có khả năng xảy ra hơn” không cung cấp đủ thông tin để đưa ra quyết định ưu tiên dựa trên rủi ro.
Gần đây hơn, Microsoft cũng phải đối mặt với một số chỉ trích vì bị cáo buộc thiếu minh bạch liên quan đến các lỗ hổng bảo mật đám mây. Vào tháng 6, Giám đốc điều hành của Tenable, Amit Yoran, đã cáo buộc công ty “âm thầm” vá một vài lỗ hổng Azure mà các nhà nghiên cứu của Tenable đã phát hiện và báo cáo.
Yoran viết: “Cả hai lỗ hổng này đều có thể bị khai thác bởi bất kỳ ai sử dụng dịch vụ Azure Synapse”. “Sau khi đánh giá tình hình, Microsoft quyết định âm thầm vá một trong những vấn đề, giảm thiểu rủi ro” và không thông báo cho khách hàng.
Yoran đã chỉ ra các nhà cung cấp khác - chẳng hạn như Orca Security và Wiz - đã gặp phải các vấn đề tương tự sau khi họ tiết lộ các lỗ hổng trong Azure cho Microsoft.
Phù hợp với Chính sách CVE của MITER
Gupta cho biết quyết định của Microsoft về việc có cấp CVE cho một lỗ hổng hay không là phù hợp với chính sách của chương trình CVE của MITER.
Cô nói: “Theo chính sách của họ, nếu khách hàng không cần thực hiện hành động nào, chúng tôi không bắt buộc phải cấp CVE. “Mục tiêu là giảm thiểu tiếng ồn cho các tổ chức và không tạo gánh nặng cho họ với những thông tin mà họ không thể làm được gì nhiều.”
Cô lưu ý: “Bạn không cần phải biết 50 điều Microsoft đang làm để đảm bảo an toàn hàng ngày cho mọi thứ.
Gupta chỉ ra tiết lộ năm ngoái của Wiz về bốn lỗ hổng nghiêm trọng trong Thành phần Cơ sở hạ tầng Quản lý Mở (OMI) trong Azure là một ví dụ về cách Microsoft xử lý các tình huống trong đó lỗ hổng trên đám mây có thể ảnh hưởng đến khách hàng. Trong tình huống đó, chiến lược của Microsoft là liên hệ trực tiếp với các tổ chức bị ảnh hưởng.
“Những gì chúng tôi làm là gửi thông báo riêng cho khách hàng vì chúng tôi không muốn thông tin này bị thất lạc,” cô nói. “Chúng tôi phát hành CVE, nhưng chúng tôi cũng gửi thông báo cho khách hàng vì nếu nó ở trong môi trường rằng bạn chịu trách nhiệm vá lỗi, chúng tôi khuyên bạn nên vá nó nhanh chóng.”
Gupta cho biết, đôi khi một tổ chức có thể thắc mắc tại sao họ không được thông báo về một vấn đề — điều đó có thể là do họ không bị ảnh hưởng.
