BLACK HAT USA — 拉斯维加斯 — Microsoft 的一位高级安全主管今天为公司的漏洞披露政策辩护,称其为安全团队提供了足够的信息来做出明智的补丁决定,而不会使他们面临来自希望快速逆向工程补丁以进行利用的威胁参与者的攻击风险.
微软安全响应中心的企业副总裁 Aanchal Gupta 在 Black Hat USA 与 Dark Reading 的对话中表示,该公司有意识地决定限制其最初通过其 CVE 提供的信息以保护用户。 虽然 Microsoft CVE 提供了有关漏洞严重性以及漏洞被利用的可能性(以及是否被积极利用)的信息,但该公司将明智地决定如何发布漏洞利用信息。
Gupta 说,对于大多数漏洞,微软目前的做法是在补丁披露之前给出一个 30 天的窗口,然后在 CVE 中填写有关漏洞及其可利用性的更多详细信息。 她说,目标是让安全管理部门有足够的时间来应用补丁而不危及他们。 “如果在我们的 CVE 中,我们提供了有关如何利用漏洞的所有详细信息,我们将为客户提供零日漏洞,”Gupta 说。
稀疏的漏洞信息?
与其他主要软件供应商一样,微软因其漏洞披露所发布的信息相对稀少而受到安全研究人员的批评。 自 2020 年 XNUMX 月以来,微软一直在使用通用漏洞评分系统 (CVSS) 框架 在其安全更新指南中描述漏洞. 这些描述涵盖了攻击向量、攻击复杂性和攻击者可能拥有的特权类型等属性。 更新还提供了一个分数来传达严重性排名。
然而,有些人将这些更新描述为神秘的,并且缺乏关于被利用的组件或如何利用它们的关键信息。 他们注意到,微软目前将漏洞放入“更可能被利用”或“被利用更不可能”的桶的做法并没有提供足够的信息来做出基于风险的优先级决策。
最近,微软还因其所谓的云安全漏洞缺乏透明度而面临一些批评。 XNUMX 月,Tenable 的首席执行官 Amit Yoran 指责该公司 “悄悄地”修补几个 Azure 漏洞 Tenable 的研究人员发现并报告了这一点。
“任何使用 Azure Synapse 服务的人都可以利用这两个漏洞,”Yoran 写道。 “在评估情况后,微软决定默默修补其中一个问题,淡化风险”,并且没有通知客户。
Yoran 指出其他供应商——例如 Orca Security 和 Wiz——在向微软披露 Azure 中的漏洞后也遇到了类似的问题。
符合 MITRE 的 CVE 政策
Gupta 表示,微软关于是否针对漏洞发布 CVE 的决定与 MITRE 的 CVE 计划的政策是一致的。
“根据他们的政策,如果不需要客户采取行动,我们就不需要签发 CVE,”她说。 “我们的目标是降低组织的噪音水平,而不是让他们无能为力的信息给他们带来负担。”
“你不需要知道微软每天为确保安全而做的 50 件事,”她指出。
Gupta 指出去年 Wiz 披露了 Azure 中的开放式管理基础结构 (OMI) 组件 作为 Microsoft 如何处理云漏洞可能影响客户的情况的示例。 在这种情况下,微软的策略是直接联系受影响的组织。
“我们所做的是向客户发送一对一的通知,因为我们不希望这些信息丢失,”她说,“我们发布 CVE,但我们也会向客户发送通知,因为如果它在环境中你负责打补丁,建议你赶紧打补丁。”
Gupta 说,有时一个组织可能想知道为什么他们没有收到有关问题的通知——这很可能是因为他们没有受到影响。
