Securitybedrijf ZDI hekelt Microsoft over omgang met bugmeldingen
Securitybedrijf ZDI heeft uitgehaald naar Microsoft, omdat het bedrijf niet goed zou omgaan met bugmeldingen, wat uiteindelijk ervoor kan zorgen dat onderzoekers geen kwetsbaarheden meer rapporteren en gebruikers risico lopen. Veel softwareleveranciers en onderzoekers maken gebruik van 'coordinated vulnerability disclosure' (CVD), waarbij onderzoekers een kwetsbaarheid aan de leverancier rapporteren. Vervolgens krijgt de leverancier de tijd om het probleem te verhelpen en bedankt en/of beloont dan de onderzoeker voor het melden ervan.
Afgelopen mei meldde ZDI aan Microsoft dat aanvallers actief misbruik maakten van een kwetsbaarheid (CVE-2024-38112) in het Windows MSHTML-platform. Op dat moment was er nog geen beveiligingsupdate voor de kwetsbaarheid beschikbaar. Vorige week kwam Microsoft met een patch, maar ZDI werd niet bedankt. Wel een andere beveiligingsonderzoeker van securitybedrijf Check Point die ook had gezien dat het beveiligingslek actief bij aanvallen werd misbruikt. Deze onderzoeker werd echter niet door Microsoft ingelicht dat de update deze maand zou verschijnen. "Gecoördineerde disclosure is geen eenzijdige coördinatie", reageert de onderzoeker op X.
Een ander punt waar ZDI kritisch over is, is de impactscore die Microsoft aan kwetsbaarheden toekent. Het recent ontdekte RADIUS-lek werd door de onderzoekers die het probleem vonden als kritiek beoordeeld, terwijl Microsoft het als 'belangrijk' bestempelde. Dit kan echter invloed hebben op hoe snel organisaties updates uitrollen. "Een eenvoudig meningsverschil kan het veiligheidspostuur voor miljoenen mensen drastisch veranderen", aldus het securitybedrijf.
"Leveranciers willen dat onderzoekers hen vertrouwen, maar ze nemen niet de noodzakelijke stappen om ons vertrouwen te winnen", zegt ZDI-onderzoeker Dustin Childs. Hij merkt op dat onderzoekers niet veeleisend zijn. "Laat ons weten dat je de melding hebt ontvangen. Bevestig of ontken onze bevindingen. Vertel ons wanneer een patch verschijnt. Bedank ons netjes (en spel onze naam goed). En zodra de patch beschikbaar is, laat ons weten waar we die kunnen vinden." Childs merkt op dat één van de grootste problemen waar ZDI tegenaan loopt is dat leveranciers niet laten weten wanneer een kwetsbaarheid is opgelost.
"Als je geen beloning biedt en niet coördineert met onderzoekers of ze netjes bedankt, waarom zou iemand dan bugs bij je rapporteren?", gaat Childs verder. Hij waarschuwt dat onderzoekers die een slechte ervaring hebben met een leverancier, in de meeste gevallen geen kwetsbaarheden meer bij dit bedrijf melden. Dat houdt echter niet in dat de kwetsbaarheden in de producten van het betreffende bedrijf opeens weg zijn. "Het maakt aanvallers niet uit of een leverancier lastig is om mee samen te werken; ze blijven bugs misbruiken totdat het niet meer kan."
Daarnaast bestaat het risico dat onderzoekers onbekende kwetsbaarheden meteen openbaar maken, zonder de leverancier in te lichten, waardoor alle gebruikers van het betreffende product risico lopen. "CVD werkt niet als onderzoekers de enige zijn die coördineren", aldus Childs. Hij voegt toe dat het probleem niet alleen bij Microsoft speelt, maar ook bij andere leveranciers.
Er wordt naar lekken gezocht niet omdat die lekken belangrijk zijn, maar omdat het publiceren over het gevonden lek de eigen organisatie publiciteit brengt.
Als er dan een andere organisatie mee weg loopt is men teleurgesteld. Want het gaat er niet om dat het probleem opgelost is, maar dat men in de publiciteit komt.
Daardoor zie je ook dat opkloppen van op zich onbetekenende problemen (zoals dat "RADIUS lek").
Ben benieuwd of de RaaS groepen er misbruik van maken. Betaal een paar honderd of duizend voor een EoP/RCE. Wat maakt het uit als je daardoor miljoenen binnen kan harken.
Er wordt naar lekken gezocht niet omdat die lekken belangrijk zijn, maar omdat het publiceren over het gevonden lek de eigen organisatie publiciteit brengt.
Als er dan een andere organisatie mee weg loopt is men teleurgesteld. Want het gaat er niet om dat het probleem opgelost is, maar dat men in de publiciteit komt.
Daardoor zie je ook dat opkloppen van op zich onbetekenende problemen (zoals dat "RADIUS lek").
Bedenk daarbij ook dat lekken in combinatie kunnen worden misbruikt. Misschien is er een lek dat het mogelijk maakt om code uit te voeren in een publieke service waar toch niets spannends gebeurt. Maar als op datzelfde systeem een privilege escalation mogelijk is voor iemand met lokale toegang dan is door dat eerste lek die privilege escalation opeens mogelijk van buiten. En wie weet is dat weer een springplank voor bijvoorbeeld het van binnen een bedrijfnetwerk aanvallen van andere machines.
En vergis je niet, de dingen die in zulke combinaties gevaarlijk kunnen zijn kunnen eruit zien als onschuldige bugs waar je in de praktijk toch geen last van hebt. En hoe meer je laat zitten omdat je het niet als ernstig beschouwt, hoe meer materiaal aanvallers hebben om mee te combineren en experimenteren tot ze iets vinden dat ze toegang geeft tot iets belangrijks.
Dat maakt alle lekken en alle bugs belangrijk.
Ben benieuwd of de RaaS groepen er misbruik van maken. Betaal een paar honderd of duizend voor een EoP/RCE. Wat maakt het uit als je daardoor miljoenen binnen kan harken.
Microsoft heeft zeker hier steken laten vallen maar het bericht is klaar blijkelijk niet geschreven als een goodwill brengend iets dit is gewoon een diplomatieke manier van middelvingers opsteken.
Er wordt naar lekken gezocht niet omdat die lekken belangrijk zijn, maar omdat het publiceren over het gevonden lek de eigen organisatie publiciteit brengt.
Als er dan een andere organisatie mee weg loopt is men teleurgesteld. Want het gaat er niet om dat het probleem opgelost is, maar dat men in de publiciteit komt.
Daardoor zie je ook dat opkloppen van op zich onbetekenende problemen (zoals dat "RADIUS lek").
Bijvoorbeeld omdat de combinatie van factoren die aanwezig moet zijn om er iets mee te kunnen in de praktijk niet te realiseren is, of alleen zeer lokaal (fysieke toegang, bluetooth of wifi bereik, dat soort dingen).
Daar worden er altijd heel veel van gevonden waarvan je meteen zegt "ja DUH!!!" maar die wel meteen gefixed moeten worden, vaak ook nog eens met echte kosten zoals performanceverlies of risico tijdens de update.
Worden die niet gefixed dan is de fabrikant meteen "slecht", terwijl er best goede afwegingen kunnen zijn om iets niet of niet meteen aan te pakken.
Dat er daarnaast gescoord wordt met publiciteit in plaats van dat er echt op veiligheid gelet wordt vind ik een grote min.
Ik heb ook bepaalde vendors waarvan ik gewoon publiek melding van maak door negatieve ervaringen in het verleden. Tja jammer voor de eindgebruiker. Er is altijd wel een alternatief.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
