Microsoft: no queremos aplicar el día cero a nuestros clientes

BLACK HAT EE. UU. — Las Vegas — Un alto ejecutivo de seguridad de Microsoft defendió hoy las políticas de divulgación de vulnerabilidades de la empresa por proporcionar suficiente información para que los equipos de seguridad tomen decisiones informadas sobre la aplicación de parches sin ponerlos en riesgo de ser atacados por actores de amenazas que busquen aplicar rápidamente ingeniería inversa a los parches para su explotación. .

En una conversación con Dark Reading en Black Hat USA, el vicepresidente corporativo del Centro de Respuesta de Seguridad de Microsoft, Aanchal Gupta, dijo que la compañía decidió conscientemente limitar la información que proporciona inicialmente con sus CVE para proteger a los usuarios. Si bien los CVE de Microsoft brindan información sobre la gravedad del error y la probabilidad de que se explote (y si se está explotando activamente), la empresa será juiciosa sobre cómo publica la información de explotación de vulnerabilidades.

Para la mayoría de las vulnerabilidades, el enfoque actual de Microsoft es dar una ventana de 30 días desde la divulgación del parche antes de completar el CVE con más detalles sobre la vulnerabilidad y su capacidad de explotación, dice Gupta. El objetivo es dar a las administraciones de seguridad suficiente tiempo para aplicar el parche sin ponerlas en peligro, dice. “Si, en nuestro CVE, proporcionamos todos los detalles de cómo se pueden explotar las vulnerabilidades, estaremos aplicando el día cero a nuestros clientes”, dice Gupta.

¿Información de vulnerabilidad escasa?

Microsoft, al igual que otros importantes proveedores de software, se ha enfrentado a las críticas de los investigadores de seguridad por la información relativamente escasa que la empresa publica con sus divulgaciones de vulnerabilidades. Desde noviembre de 2020, Microsoft ha estado utilizando el marco del Sistema de puntuación de vulnerabilidad común (CVSS) para describir las vulnerabilidades en su guía de actualización de seguridad. Las descripciones cubren atributos como el vector de ataque, la complejidad del ataque y el tipo de privilegios que podría tener un atacante. Las actualizaciones también proporcionan una puntuación para transmitir la clasificación de gravedad.

Sin embargo, algunos han descrito las actualizaciones como crípticas y carentes de información crítica sobre los componentes que se explotan o cómo podrían explotarse. Han notado que la práctica actual de Microsoft de colocar las vulnerabilidades en un grupo de "explotación más probable" o "explotación menos probable" no proporciona suficiente información para tomar decisiones de priorización basadas en el riesgo.

Más recientemente, Microsoft también se ha enfrentado a algunas críticas por su supuesta falta de transparencia con respecto a las vulnerabilidades de seguridad en la nube. En junio, el director general de Tenable, Amit Yoran, acusó a la empresa de parcheando "silenciosamente" un par de vulnerabilidades de Azure que los investigadores de Tenable habían descubierto e informado.

“Cualquiera que usara el servicio Azure Synapse podía explotar ambas vulnerabilidades”, escribió Yoran. “Después de evaluar la situación, Microsoft decidió parchear silenciosamente uno de los problemas, minimizando el riesgo”, y sin notificar a los clientes.

Yoran señaló a otros proveedores, como Orca Security y Wiz, que se habían encontrado con problemas similares después de revelar vulnerabilidades en Azure a Microsoft.

De acuerdo con las Políticas CVE de MITRE

Gupta dice que la decisión de Microsoft sobre si emitir un CVE para una vulnerabilidad es consistente con las políticas del programa CVE de MITRE.

“Según su política, si no se necesita ninguna acción del cliente, no estamos obligados a emitir un CVE”, dice. “El objetivo es mantener el nivel de ruido bajo para las organizaciones y no sobrecargarlas con información con la que poco pueden hacer”.

“No necesita saber las 50 cosas que hace Microsoft para mantener las cosas seguras en el día a día”, señala.

Gupta señala la divulgación del año pasado por parte de Wiz de cuatro vulnerabilidades críticas en el Componente de infraestructura de administración abierta (OMI) en Azure como ejemplo de cómo Microsoft maneja situaciones en las que una vulnerabilidad en la nube podría afectar a los clientes. En esa situación, la estrategia de Microsoft fue contactar directamente a las organizaciones afectadas.

“Lo que hacemos es enviar notificaciones uno a uno a los clientes porque no queremos que esta información se pierda”, dice. “Emitimos un CVE, pero también enviamos un aviso a los clientes porque si está en un entorno que usted es responsable de parchear, le recomendamos que lo parchee rápidamente”.

A veces, una organización puede preguntarse por qué no se les notificó un problema; probablemente se deba a que no se ven afectados, dice Gupta.

Inteligencia de datos generativa

Microsoft: no queremos hacer un día cero para nuestros clientes

¿Información de vulnerabilidad escasa?

De acuerdo con las Políticas CVE de MITRE

Sogolytics Study Examines Patient Experience Gaps in Telehealth Adoption

Consensys demanda a la SEC por el estado de Ethereum

Información más reciente

El líder de las gafas Meta AR afirma que son tan alucinantes como el Rift original

'EA Sports WRC' obtiene soporte para PC VR la próxima semana después del lanzamiento de la temporada 4

Cumplimiento mínimo viable: lo que debería preocuparle y por qué

Manual de tanques militares, Ancla de día cero de 2017, último ciberataque en Ucrania

Drone Racing League adquirida por Infinite Reality por 250 millones de dólares

Rafale entra en servicio croata

Habla con nosotros!