Scheletri nell'armadio del Patch Day di Microsoft

Martedì scorso, quando Microsoft ha rilasciato il MS07-030 bollettino per correggere a buco nell'esecuzione di codice remoto in Visio, la prima riga del riepilogo esecutivo ha attirato la mia attenzione:

Questo importante aggiornamento risolve due vulnerabilità segnalate privatamente oltre ad altri problemi di sicurezza identificati nel corso dell'indagine. (sottolineatura mia)

Questa è la prima volta che vedo Microsoft ammettere apertamente di aver risolto silenziosamente le sue vulnerabilità bollettini: una pratica controversa che riduce di fatto il numero di correzioni di bug documentate pubblicamente (per quelli che tengono il conto) e influisce sulle decisioni di gestione/distribuzione delle patch.

[ VEDERE: Report card sulla sicurezza di Windows e Linux ]

Quando un ricercatore esterno segnala un difetto, viene regolarmente utilizzato il MSRC (Microsoft Security Response Center). conduce un controllo completo della base di codice circostante per trovare ed eliminare qualsiasi potenziale problema le zone. Il problema, secondo i professionisti della ricerca sulla sicurezza, è che Microsoft mantiene uno stretto controllo sui dettagli di questi problemi rilevati internamente, una mossa che rende difficile per un amministratore IT effettuare una distribuzione informata delle patch decisione.

La posizione di Microsoft è che la divulgazione pubblica dei dettagli dei difetti riscontrati durante un'indagine interna mette più argomenti nelle mani dei malintenzionati.

Mark Griesi, un program manager dell'MSRC, spiega le politiche di patching/divulgazione dell'azienda:

Se lo scenario di attacco e le azioni consigliate al cliente fornite nei nostri bollettini sulla sicurezza sono diversi per un problema riscontrato tramite il nostro servizio interno indagine, documenteremo il rischio in base al problema più grave riscontrato internamente all'interno dei dettagli delle vulnerabilità per l'esterno problema segnalato.

Per quasi tutti i casi, poiché l’indagine interna si basa sul rapporto esterno, gli scenari di attacco risultanti sono simili. Pertanto non richiedono un invito all'azione separato o una documentazione separata per i clienti.

In un'intervista Griesi osserva che non è sempre così, sottolineando il MS06-023 bollettino come esempio di vulnerabilità risolta – e documentata pubblicamente – anche se è stata scoperta internamente.

Tuttavia, Griesi ammette che Microsoft non ne aprirà una nuova Inserimento CVE per spiegare esattamente cosa viene risolto. Questo, sostiene Griesi, fornisce agli autori di malware troppe informazioni sulla posizione dei punti deboli nel codice base e espone i clienti Microsoft a un rischio maggiore.

D'altra parte, gli hacker white hat avvertono che le soluzioni silenziose sono una pratica pericolosa perché sfruttata gli autori dispongono già degli strumenti per eseguire il reverse engineering di una patch Microsoft per trovare tutte le soluzioni risolte silenziosamente problemi.

"Non stai ingannando gli autori di exploit con soluzioni silenziose. Stai solo prendendo in giro i tuoi clienti", afferma Marc Maiffret, co-fondatore di eEye Digital Security.

Maiffret spiega la routine del Patch Day. Innanzitutto, i cattivi:

1. Scaricano la patch Microsoft.
2. Espandono la patch e trovano quali file sono stati modificati dalla patch.
3. Prendono gli stessi binari da un sistema operativo senza patch.
4. Eseguono i due binari, nuovo/vecchio, tramite un'utilità di differenza binaria.
5. Analizzano le poche modifiche per identificare quali sono correzioni di sicurezza o meno.
6. Scrivono exploit per *tutte* le vulnerabilità indipendentemente da ciò che è contenuto nel bollettino Microsoft.

Ora, questo è ciò che accade in un'azienda tipica, in cui i tecnici IT si affannano per dare priorità alle patch e distribuirle:

1. Esaminano il bollettino sulla sicurezza di Microsoft.
2. Effettuano una valutazione del rischio basata sulle vulnerabilità documentate pubblicamente da Microsoft.
3. Decidono che la patch non è così importante, in base alle informazioni pubbliche rilasciate da Microsoft.
4. Il loro sistema è stato compromesso perché non hanno stabilito correttamente le priorità e una delle vulnerabilità risolte silenziosamente era più facile da sfruttare per il malintenzionato. Sfortunatamente, il tecnico IT non lo ha mai saputo.

HD Moore, un hacker chi sa una o due cose sulla scrittura di exploit, è d'accordo con Maiffret.

"Sono anni che discuto con quelli della MSRC riguardo a questo. Adottano l’approccio secondo cui portare l’attenzione sul difetto aumenterà le probabilità che venga sfruttato. La mia opinione è che non attirando l'attenzione su questo fatto, lasciano i loro clienti all'oscuro e facilitano il ripetersi degli attacchi WMF o ANI", ha detto Moore in un'intervista.

"Senza sapere cosa è stato corretto o come può essere sfruttato, sia gli amministratori che i professionisti della sicurezza rimangono all'oscuro", ha aggiunto.

Un altro effetto collaterale negativo delle correzioni silenziose si verifica quando i fornitori di terze parti incorporano codice Microsoft ma non vengono avvisati quando tale codice è difettoso. In questi casi, il codice vulnerabile nel prodotto di terze parti non viene mai risolto.

L'assenza di documentazione danneggia anche i fornitori di IPS (Intrusion Prevention Systems) che si affidano alle informazioni sulle vulnerabilità per creare firme per bloccare gli attacchi.

L'ingegnere ricercatore di eEye Andre Derek Protas vede la nota nel bollettino MS07-030 come un segno che Microsoft ha "fatto un piccolo passo" per ammettere che stanno risolvendo silenziosamente le vulnerabilità.

"[Ora] devono fare il passo successivo e iniziare a informare i clienti e i fornitori di sicurezza se quelle vulnerabilità risolte silenziosamente erano più pericolose di quelle segnalate. Sfortunatamente non lo fanno", ha detto Protas.

Griesi di Microsoft ha affermato che il fornitore di software esamina costantemente il feedback dei clienti per migliorare il processo di risposta alla sicurezza.