美国黑帽 - 拉斯维加斯 - 跟上安全漏洞修补的步伐充其量是具有挑战性的,但由于缺乏上下文的 CVSS 分数、混乱的供应商建议和不完整的修复,确定优先关注哪些漏洞变得比以往任何时候都更加困难。让管理员产生虚假的安全感。
这就是趋势科技零日倡议 (ZDI) 的 Brian Gorenc 和 Dustin Childs 在他们的会议期间从 Black Hat USA 的舞台上提出的论点,“在默默无闻的时代计算风险:在安全咨询的行之间阅读设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
自 10,000 年以来,ZDI 已向整个行业的供应商披露了 2005 多个漏洞。在此期间,ZDI 通信经理 Childs 表示,他注意到一个令人不安的趋势,即补丁质量下降和围绕安全更新的通信减少。
“当供应商发布有缺陷的补丁,或者关于这些补丁的不准确和不完整的信息可能导致企业错误地估计他们的风险时,真正的问题就出现了,”他指出。 “有缺陷的补丁也可以成为开发者的福音,因为‘n-days’比零日更容易使用。”
CVSS 分数和补丁优先级的问题
大多数网络安全团队人手不足且承受着压力,“始终保持所有软件版本最新”的口号对于那些根本没有资源覆盖海滨的部门来说并不总是有意义的。 这就是为什么根据通用漏洞严重性量表 (CVSS) 中的严重性等级优先应用哪些补丁已成为许多管理员的后备方案。
然而,Childs 指出,这种方法存在严重缺陷,可能导致资源被花费在不太可能被利用的错误上。 这是因为 CVSS 分数没有提供大量关键信息。
“很多时候,企业只关注 CVSS 基础核心来确定修补优先级,”他说。 “但 CVSS 并没有真正关注可利用性,或者漏洞是否可能在野外使用。 CVSS 不会告诉您该错误是否存在于 15 个系统或 15 万个系统中。 它并没有说明它是否在可公开访问的服务器中。”
他补充说:“最重要的是,它并没有说明该错误是否存在于对您的特定企业至关重要的系统中。”
因此,即使一个错误在 CVSS 量表上的关键评级为 10 分(满分 10 分),它的真正影响可能远没有关键标签所表明的那么令人担忧。
“像 Microsoft Exchange 这样的电子邮件服务器中的未经身份验证的远程代码执行 (RCE) 漏洞将引起漏洞利用作者的极大兴趣,”他说。 “像 Squirrel Mail 这样的电子邮件服务器中的未经身份验证的 RCE 错误可能不会引起那么多关注。”
为了填补上下文空白,安全团队经常求助于供应商建议——Childs 指出,这些建议有自己的明显问题:他们经常通过默默无闻来实践安全。
微软周二补丁公告缺乏细节
2021年,微软做出决定 删除执行摘要
来自安全更新指南,而是通知用户 CVSS 分数足以确定优先级——这是 Childs 抨击的变化。
“这种变化消除了确定风险所需的背景,”他说。 “例如,信息泄露漏洞是否会转储随机内存或 PII? 或者对于安全功能绕过,绕过了什么? 这些文章中的信息不一致,质量参差不齐,尽管几乎普遍批评了这一变化。”
除了微软“删除或隐藏用于产生清晰指导的更新中的信息”之外,现在确定基本的补丁星期二信息也变得更加困难,例如每个月修补了多少错误。
“现在你必须数数自己,这实际上是我所做的最困难的事情之一,”Childs 指出。
此外,关于有多少漏洞受到主动攻击或公开已知的信息仍然可用,但现在隐藏在公告中。
“例如,与 本月修补了 121 个 CVE,很难挖掘所有这些来寻找哪些受到主动攻击,”Childs 说。 “相反,人们现在依赖其他信息来源,如博客和新闻文章,而不是来自供应商的权威信息来帮助确定风险。”
需要注意的是,微软 改变了两倍. 微软安全响应中心的企业副总裁 Aanchal Gupta 在 Black Hat USA 与 Dark Reading 的对话中表示,该公司有意识地决定限制其最初通过其 CVE 提供的信息以保护用户。 她说,虽然微软 CVE 提供了有关漏洞严重性以及漏洞被利用的可能性(以及是否被积极利用)的信息,但该公司将明智地决定如何发布漏洞利用信息。
Gupta 说,目标是让安全管理部门有足够的时间来应用补丁而不危及他们。 “如果在我们的 CVE 中,我们提供了有关如何利用漏洞的所有详细信息,我们将对我们的客户进行零日漏洞攻击,”她说。
其他供应商实践默默无闻
微软并不是唯一一个在漏洞披露中提供少量细节的公司。 Childs 表示,许多供应商在发布更新时根本不提供 CVE。
“他们只是说更新修复了几个安全问题,”他解释说。 “多少? 严重程度如何? 什么是可利用性? 最近我们甚至有一个供应商专门对我们说,我们不会发布有关安全问题的公共建议。 这是一个大胆的举动。”
此外,一些供应商将建议置于付费墙或支持合同之后,进一步掩盖了他们的风险。 或者,他们将多个错误报告合并到一个 CVE 中,尽管普遍认为 CVE 代表一个独特的漏洞。
“这可能会导致你的风险计算出现偏差,”他说。 “例如,如果您考虑购买一种产品,并且您看到 10 个 CVE 在一定时间内已被修补,您可能会得出该新产品存在风险的一个结论。 但是,如果您知道这 10 个 CVE 是基于 100 多个错误报告,您可能会得出不同的结论。”
安慰剂补丁瘟疫优先级
除了披露问题之外,安全团队还面临补丁本身的问题。 根据 Childs 的说法,“安慰剂补丁”是一种实际上不会对代码进行有效更改的“修复”,这种情况并不少见。
“所以这个漏洞仍然存在并且可以被威胁参与者利用,除非现在他们已经被告知,”他说。 “发生这种情况的原因有很多, 但它确实发生了 ——bug 太好了,我们修补了两次。”
也经常有不完整的补丁; 事实上,在 ZDI 程序中,研究人员分析的整整 10% 到 20% 的错误是补丁错误或不完整的直接结果。
Childs 使用了 Adobe Reader 中整数溢出问题的示例,该问题导致堆分配过小,当向其中写入过多数据时会导致缓冲区溢出。
“我们希望 Adobe 能够通过将某个点上的任何值设置为错误来进行修复,”Childs 说。 “但这不是我们所看到的,在推出后的 60 分钟内,出现了补丁绕过,他们不得不再次修补。 重播不仅仅适用于电视节目。”
如何解决补丁优先级问题
最终,在补丁优先级方面,有效的补丁管理和风险计算归结为确定组织内的高价值软件目标以及使用第三方资源来缩小对任何给定环境最重要的补丁的范围,研究人员指出。
然而,披露后的灵活性问题是组织关注的另一个关键领域。
ZDI 高级主管 Gorenc 表示,网络犯罪分子会立即将具有大型攻击面的漏洞集成到他们的勒索软件工具集或漏洞利用工具包中,希望在公司有时间修补之前将新披露的漏洞作为武器。 这些所谓的 n-day bug 对攻击者来说是猫薄荷,他们平均可以在短短 48 小时内对 bug 进行逆向工程。
“在大多数情况下,攻击性社区正在使用具有可用公共补丁的 n-day 漏洞,”Gorenc 说。 “对于我们来说,在披露时了解漏洞是否真的会被武器化很重要,但大多数供应商并未提供有关可利用性的信息。”
因此,企业风险评估需要足够动态以改变披露后的情况,安全团队应监控威胁情报来源,以了解漏洞何时集成到漏洞利用工具包或勒索软件中,或者漏洞何时在线发布。
除此之外,企业需要考虑的一个重要时间表是在整个组织中实际推出补丁需要多长时间,以及是否有必要时可以使用的紧急资源。
“当威胁形势发生变化(补丁修订、公共概念验证和漏洞利用发布)时,企业应该转移资源以满足需求并应对最新风险,”Gorenc 解释说。 “不仅仅是最新公开和命名的漏洞。 观察威胁环境中正在发生的事情,调整您的资源,并决定何时采取行动。”
