No queremos aplicar el día cero a nuestros clientes



BLACK HAT EE. UU. – LAS VEGAS—Un alto ejecutivo de seguridad de Microsoft defendió hoy las políticas de divulgación de vulnerabilidades de la compañía por proporcionar suficiente información para que los equipos de seguridad tomen decisiones informadas sobre parches sin ponerlos en riesgo de ataque por parte de actores de amenazas que buscan rápidamente parches de ingeniería inversa para su explotación.

En una conversación con Dark Reading en Black Hat Usa, el vicepresidente corporativo del Centro de Respuesta de Seguridad de Microsoft, Aanchal Gupta, dijo que la compañía decidió conscientemente limitar la información que proporciona inicialmente con sus CVE para proteger a los usuarios. Si bien los CVE de Microsoft brindan información sobre la gravedad del mistake y la probabilidad de que se explote (y si se está explotando activamente), la empresa será juiciosa sobre cómo publica la información de explotación de vulnerabilidades.

Para la mayoría de las vulnerabilidades, el enfoque genuine de Microsoft es dar una ventana de 30 días desde la divulgación del parche antes de completar el CVE con más detalles sobre la vulnerabilidad y su capacidad de explotación, dice Gupta. El objetivo es dar a las administraciones de seguridad suficiente tiempo para aplicar el parche sin ponerlas en peligro, dice Gupta. «Si, en nuestro CVE, proporcionamos todos los detalles de cómo se pueden explotar las vulnerabilidades, seremos un día cero para nuestros clientes», dice Gupta.

¿Información de vulnerabilidad escasa?

Microsoft, al igual que otros importantes proveedores de software program, se ha enfrentado a las críticas de los investigadores de seguridad por la información relativamente escasa que la empresa publica con sus divulgaciones de vulnerabilidades. Desde noviembre de 2020, Microsoft ha estado utilizando el marco del Sistema de puntuación de vulnerabilidad común (CVSS) para describir las vulnerabilidades en su guía de actualización de seguridad. Las descripciones cubren atributos como el vector de ataque, la complejidad del ataque y el tipo de privilegios que podría tener un atacante. Las actualizaciones también proporcionan una puntuación para transmitir su clasificación de gravedad.

Sin embargo, algunos han descrito las actualizaciones como crípticas y carentes de información crítica sobre los componentes que se explotan o cómo podrían explotarse. Han notado que la práctica true de Microsoft de poner las vulnerabilidades en una «explotación más probable» o una «explotación menos possible» no proporciona suficiente información para tomar decisiones de priorización basadas en el riesgo.

Más recientemente, Microsoft también se ha enfrentado a algunas críticas por su supuesta falta de transparencia con respecto a las vulnerabilidades de seguridad en la nube. En junio, el director typical de Tenable, Amit Yoran, acusó a la empresa de parcheando «silenciosamente» un par de vulnerabilidades de Azure que los investigadores de Tenable habían descubierto e informado.

«Cualquiera que usara el servicio Azure Synapse podía explotar ambas vulnerabilidades», escribió Yoran. «Después de evaluar la situación, Microsoft decidió parchear silenciosamente uno de los problemas, minimizando el riesgo» y sin notificar a los clientes.

Yoran señaló a otros proveedores, como Orca Stability y Wiz, que habían encontrado problemas similares después de revelar vulnerabilidades en Azure a Microsoft.

De acuerdo con las Políticas CVE de MITRE

Gupta dice que la decisión de Microsoft sobre emitir o no un CVE para una vulnerabilidad es consistente con las políticas del programa CVE de MITRE.

«Según su política, si no se necesita ninguna acción del cliente, no estamos obligados a emitir un CVE», dice. El objetivo es mantener el nivel de ruido bajo para las organizaciones y no sobrecargarlas con información con la que poco pueden hacer. «

No necesita saber las 50 cosas que Microsoft está haciendo para mantener las cosas seguras en el día a día”, señala.

Señala la divulgación del año pasado por parte de Wiz de cuatro vulnerabilidades críticas en el componente Open Management Infrastructure (OMI) en Azure como un ejemplo de cómo Microsoft maneja situaciones en las que una vulnerabilidad en la nube podría afectar a los clientes. En esa situación, la estrategia de Microsoft fue contactar directamente a las organizaciones afectadas.

«Lo que hacemos es enviar notificaciones uno a uno a los clientes porque no queremos que esta información se pierda», dice. «Emitimos un CVE, pero también enviamos un aviso a los clientes porque si está en un entorno que usted es responsable de parchear, le recomendamos que lo parchee rápidamente».

A veces, una organización puede preguntarse por qué no se les notificó un problema probablemente se deba a que no se ven afectados, dice Gupta.



Enlace a la noticia first