BLACK HAT USA – Las Vegas – Güvenlik açığı düzeltme ekine ayak uydurmak en iyi ihtimalle zorlayıcıdır, ancak içeriğe uygun olmayan CVSS puanları, çamurlu satıcı tavsiyeleri ve eksik düzeltmeler sayesinde hangi hatalara odaklanılacağına öncelik vermek her zamankinden daha zor hale geldi. yöneticilere yanlış bir güvenlik duygusu bırakın.
Her ikisi de Trend Micro’s Zero Day Initiative (ZDI) ile Brian Gorenc ve Dustin Childs’ın seansları sırasında Black Hat USA sahnesinden yaptıkları iddia bu, “Belirsizlik Çağında Riski Hesaplamak: Güvenlik Tavsiyelerinin Satır Arasını Okumak“
ZDI, 2005’ten bu yana sektördeki satıcılara 10.000’den fazla güvenlik açığı açıkladı. Bu süre zarfında, ZDI iletişim yöneticisi Childs, yama kalitesinde bir düşüş ve güvenlik güncellemelerini çevreleyen iletişimlerde azalma gibi rahatsız edici bir eğilim fark ettiğini söyledi.
“Asıl sorun, satıcılar hatalı yamalar yayınladıklarında veya bu yamalar hakkında işletmelerin risklerini yanlış hesaplamalarına neden olabilecek yanlış ve eksik bilgiler yayınladığında ortaya çıkıyor” dedi. Hatalı yamalar, yazarları sömürmek için de bir nimet olabilir, çünkü ‘n-günlerin’ kullanımı sıfır-günlerden çok daha kolaydır.”
CVSS Puanları ve Yama Önceliği Sorunu
Siber güvenlik ekiplerinin çoğu yetersiz personel ve baskı altındadır ve “tüm yazılım sürümlerini her zaman güncel tut” mantrası, kıyıyı kapsayacak kaynaklara sahip olmayan departmanlar için her zaman mantıklı değildir. Bu nedenle, Ortak Güvenlik Açığı Önem Ölçeğinde (CVSS) önem derecelerine göre hangi yamaların uygulanacağına öncelik vermek birçok yönetici için bir geri dönüş haline geldi.
Ancak Childs, bu yaklaşımın derinden kusurlu olduğunu ve kaynakların hiç kullanılmaması muhtemel hatalara harcanmasına yol açabileceğini belirtti. Bunun nedeni, CVSS puanının sağlamadığı çok sayıda kritik bilgi olmasıdır.
“Çoğu zaman, işletmeler yama önceliğini belirlemek için CVSS temel çekirdeğinden başka bir yere bakmazlar” dedi. “Ancak CVSS, gerçekten istismar edilebilirliğe veya bir güvenlik açığının vahşi ortamda kullanılıp kullanılmayacağına bakmıyor. CVSS, hatanın 15 sistemde mi yoksa 15 milyon sistemde mi olduğunu size söylemiyor. Ve bakmıyor. Herkese açık sunucularda olup olmadığını söyleme.”
“Ve en önemlisi, özel girişiminiz için kritik olan bir sistemde hatanın bulunup bulunmadığını söylemiyor.”
Bu nedenle, bir hata CVSS ölçeğinde 10 üzerinden 10 kritik bir derece taşısa bile, gerçek etkisi bu kritik etiketin göstereceğinden çok daha az endişe verici olabilir.
“Microsoft Exchange gibi bir e-posta sunucusundaki kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) hatası, istismar yazarlarından çok fazla ilgi çekecek” dedi. “Squirrel Mail gibi bir e-posta sunucusundaki kimliği doğrulanmamış bir RCE hatası muhtemelen o kadar dikkat çekmeyecek.”
Güvenlik ekipleri bağlamsal boşlukları doldurmak için genellikle satıcı tavsiyelerine başvurur – Childs’ın belirttiği gibi, kendi göze batan sorunları vardır: Genellikle belirsizliğe dayalı güvenlik uygularlar.
Microsoft Yama Salı Önerileri Eksik Ayrıntılar
2021’de Microsoft kararını verdi yönetici özetlerini kaldırmak için
Güvenlik güncelleme kılavuzlarından, bunun yerine kullanıcıları CVSS puanlarının önceliklendirme için yeterli olacağı konusunda bilgilendirmek – Childs’ın patlattığı bir değişiklik.
“Değişiklik, riski belirlemek için gereken bağlamı ortadan kaldırıyor” dedi. “Örneğin, bir bilgi ifşa hatası rastgele bellek veya PII boşaltır mı? Veya güvenlik özelliği atlama için ne atlanıyor? Bu yazılardaki bilgiler, değişikliğe yönelik neredeyse evrensel eleştirilere rağmen tutarsız ve değişen kalitede.”
Microsoft’un “önceden net rehberlik sağlayan güncellemelerdeki bilgileri kaldırma veya gizlemeye” ek olarak, her ay kaç hatanın yamalandığı gibi Salı Yaması ile ilgili temel bilgileri belirlemek de artık daha zor.
Childs, “Şimdi kendinizi saymanız gerekiyor ve bu aslında yaptığım en zor şeylerden biri” dedi.
Ayrıca, aktif saldırı altında olan veya kamuya açık olarak bilinen kaç güvenlik açığı olduğu bilgisi hala mevcut, ancak artık bültenlerde gömülü durumda.
Childs, “Örnek olarak, bu ay 121 CVE’nin yamalanmasıyla, hangilerinin aktif saldırı altında olduğunu aramak için hepsini incelemek biraz zor” dedi. “Bunun yerine, insanlar artık riski belirlemeye yardımcı olmak için satıcıdan gelen güvenilir bilgiler yerine bloglar ve basın makaleleri gibi diğer bilgi kaynaklarına güveniyor.”
Microsoft’un değişikliği ikiye katladığı belirtilmelidir. Microsoft’un Güvenlik Müdahale Merkezi’nin kurumsal başkan yardımcısı Aanchal Gupta, Black Hat USA’da Dark Reading ile yaptığı bir konuşmada, şirketin kullanıcıları korumak için başlangıçta sağladığı bilgileri CVE’leriyle sınırlamaya bilinçli olarak karar verdiğini söyledi. Microsoft CVE’ler, hatanın ciddiyeti ve istismar edilme olasılığı (ve aktif olarak istismar edilip edilmediği) hakkında bilgi sağlarken, şirketin güvenlik açığından yararlanma bilgilerini nasıl yayınladığı konusunda makul olacağını söyledi.
Gupta, amacın güvenlik yönetimlerine yamayı tehlikeye atmadan uygulamak için yeterli zaman vermek olduğunu söyledi. “CVE’mizde, güvenlik açıklarından nasıl yararlanılabileceğinin tüm ayrıntılarını sağladıysak, müşterilerimizi sıfır gün ediyor olacağız” dedi.
Diğer Satıcılar Belirsizlik Uygular
Microsoft, hata açıklamalarında yetersiz ayrıntı sağlama konusunda pek yalnız değil. Childs, birçok satıcının bir güncelleme yayınladıklarında hiç CVE sağlamadığını söyledi.
“Yalnızca güncellemenin birkaç güvenlik sorununu çözdüğünü söylüyorlar” diye açıkladı. “Kaç? Önem derecesi nedir? Sömürülebilirlik nedir? Hatta yakın zamanda bir satıcıdan bize özellikle şunu söyledi, güvenlik sorunlarıyla ilgili kamuya açık tavsiyeler yayınlamıyoruz. Bu cesur bir hareket.”
Ek olarak, bazı satıcılar ödeme duvarlarının veya destek sözleşmelerinin arkasına tavsiyeler koyarak risklerini daha da gizler. Veya, bir CVE’nin tek bir benzersiz güvenlik açığını temsil ettiğine dair yaygın algıya rağmen, birden çok hata raporunu tek bir CVE’de birleştirirler.
“Bu, muhtemelen risk hesaplamanızı çarpıtmanıza yol açar” dedi. “Örneğin, bir ürün satın almaya bakarsanız ve belirli bir süre içinde yamalanmış 10 CVE görürseniz, bu yeni ürünün riskine dair bir sonuca varabilirsiniz. Ancak, bu 10’u bilseydiniz, CVE’ler 100’den fazla hata raporuna dayanıyordu, farklı bir sonuca varabilirsiniz.”
Plasebo Yamaları Veba Önceliklendirmesi
Güvenlik ekipleri, ifşa sorununun ötesinde, yamaların kendisinde de sorunlarla karşılaşıyor. Childs’a göre, aslında hiçbir etkili kod değişikliği yapmayan “düzeltmeler” olan “plasebo yamaları” nadir değildir.
“Yani bu hata hala orada ve aktörleri tehdit etmek için kullanılabilir, ancak şimdi bilgilendirilmeleri dışında” dedi. “Bunun olmasının birçok nedeni var, ama oluyor – böcekler o kadar güzel ki onları iki kez yamalıyoruz.”
Ayrıca genellikle eksik olan yamalar da vardır; aslında, ZDI programında, araştırmacıların analiz ettiği hataların %10 ila %20’si, hatalı veya eksik bir yamanın doğrudan sonucudur.
Childs, Adobe Reader’da, çok fazla veri yazıldığında arabellek taşmasına neden olan küçük boyutlu yığın ayırmaya yol açan bir tamsayı taşması sorunu örneğini kullandı.
Childs, “Adobe’nin belirli bir noktanın üzerindeki herhangi bir değeri kötü olarak ayarlayarak düzeltmeyi yapmasını bekliyorduk” dedi. “Ancak gördüğümüz bu değildi ve piyasaya sürüldükten sonraki 60 dakika içinde bir yama atlaması oldu ve tekrar yama yapmak zorunda kaldılar. Tekrar gösterimler sadece TV şovları için değil.”
Yama Önceliklendirme Sorunlarıyla Nasıl Mücadele Edilir?
Sonuç olarak, yama önceliklendirmesi söz konusu olduğunda, etkili yama yönetimi ve risk hesaplaması, kuruluş içindeki yüksek değerli yazılım hedeflerini belirlemenin yanı sıra herhangi bir ortam için hangi yamaların en önemli olacağını daraltmak için üçüncü taraf kaynakları kullanmaya indirgenir. araştırmacılar kaydetti.
Ancak, ifşa sonrası çeviklik konusu, kuruluşların odaklanması gereken bir diğer önemli alandır.
ZDI Kıdemli Direktörü Gorenc’e göre siber suçlular, büyük saldırı yüzeylerine sahip güvenlik açıklarını fidye yazılımı araç setlerine veya açıklardan yararlanma kitlerine entegre ederek hiç vakit kaybetmeden yeni ifşa edilen kusurları şirketlerin düzeltmeye zamanı olmadan önce silah haline getirmeye çalışıyor. Bu sözde n-day böcekleri, ortalama olarak bir hatayı 48 saat gibi kısa bir sürede tersine çevirebilen saldırganlar için kedi nanesi gibidir.
Gorenc, “Çoğunlukla saldırgan topluluk, herkese açık yamalar bulunan n-günlük güvenlik açıklarını kullanıyor.” Dedi. “Bir hatanın gerçekten silahlanıp silahlanmayacağını ifşa ederken anlamamız bizim için önemli, ancak çoğu satıcı istismar edilebilirlik hakkında bilgi sağlamıyor.”
Bu nedenle, kurumsal risk değerlendirmelerinin, ifşa sonrası değişiklik için yeterince dinamik olması gerekir ve güvenlik ekipleri, bir hatanın bir açıklardan yararlanma kitine veya fidye yazılımına ne zaman entegre edildiğini veya bir açıktan yararlanmanın çevrimiçi olarak ne zaman yayınlandığını anlamak için tehdit istihbarat kaynaklarını izlemelidir.
Buna ek olarak, kuruluşların dikkate alması gereken önemli bir zaman çizelgesi, kuruluş genelinde bir yamanın gerçekten ne kadar süreceği ve gerektiğinde kullanılabilecek acil durum kaynaklarının bulunup bulunmadığıdır.
Gorenc, “Tehdit ortamında değişiklikler meydana geldiğinde (yama revizyonları, kamuya açık kavram kanıtları ve açıklardan yararlanma sürümleri), işletmeler ihtiyacı karşılamak ve en son risklerle mücadele etmek için kaynaklarını değiştirmelidir.” “Yalnızca en son açıklanan ve adlandırılmış güvenlik açığı değil. Tehdit ortamında neler olup bittiğini gözlemleyin, kaynaklarınızı yönlendirin ve ne zaman harekete geçeceğinize karar verin.”