Microsoft, özellikle geçen haftaki Patch Tuesday sırasında güvenlik açığı ifşasında şeffaflık eksikliği nedeniyle Zero Day Initiative (ZDI) ve güvenlik araştırmacılarından gelen tepkilerle karşı karşıya. CVE-2024-38112’nin son zamanlarda yanlış yönetilmesi, aceleyle yama uygulama, uygunsuz kredilendirme ve kullanıcı güvenliği üzerindeki etki konusunda sektördeki endişeleri vurguluyor.
Güvenlik araştırmacıları ve Zero Day Initiative (ZDI), tedarikçilerin koordineli güvenlik açığı ifşası (CVD) konusunda şeffaflık ve iletişim eksikliğinden dolayı hayal kırıklığı yaşadıklarını ifade ettiler. Microsoft’u ilgilendiren yakın tarihli bir olay, sistemi etkileyen sorunlara örnek teşkil ediyor.
Trend Micro’nun ZDI’sı, Mayıs ayında Microsoft’a kritik bir güvenlik açığı (CVE-2024-38112) bildirdi, ancak ZDI’nin tedarikçisinden herhangi bir onay alınmadan geçen haftaki Yama Salı’sında bunun ele alındığını gördü. Araştırmacılar, bu iletişim eksikliğinin izole bir olay olmadığını bildiriyor.
Aynı açığı bağımsız olarak keşfeden Check Point’ten bir diğer araştırmacı Haifei Li, Microsoft’un iletişim eksikliğini daha da vurgulayarak, bunu kabul etmedi. Li, Microsoft’u bir gönderide eleştirerek, koordineli ifşaların “tek taraflı” koordinasyon olamayacağını belirtti.
Dataflow Security’den araştırmacı Kẻ soi mói, bir dizi Tweet’te Microsoft’un ilgisiz hataları düzeltmesine rağmen SharePoint’te hala giderilmemiş benzer güvenlik açıkları bildirdiğini açıkladı.
IBM X-Force’dan Valentina Palmiotti, “bu yıl Pwn2Own’da kazanan bir giriş” olan kritik bir açığı keşfetti ancak Microsoft’a çalışır bir açık vermesine rağmen yama yayınlandığında şüpheli bir CVSS derecesi alması nedeniyle hayal kırıklığına uğradığını ifade etti.
Araştırmacılar CVD’nin amaçlandığı gibi çalışmadığını savunuyor. Satıcılar ayrıntılı güvenlik açığı raporları talep ediyor ancak yama aciliyeti ve ciddiyet derecelendirmeleriyle ilgili kararlar için zamanında iletişim, uygun kredilendirme ve net açıklamalarla karşılık vermiyor.
Örneğin, Microsoft tarafından CVSS 7.5 olarak derecelendirilen bir RADIUS açığı, bunu keşfeden araştırmacı tarafından 9.0 olarak derecelendirildi ve bu da yama dağıtım hızında önemli bir fark yarattı.
Microsoft, 2023 yılında yeni bir güvenlik ve şeffaflık dönemi yaratmayı amaçlayan Güvenli Gelecek Girişimi’ni (SFI) başlattı. Ancak bu başarılmadı. Tedarikçiler ve araştırmacılar arasındaki koordinasyon eksikliği, riskleri değerlendirmekte zorlanan son kullanıcılara zarar veriyor ve kritik güvenlik açıklarının yamalanmasını geciktirebiliyor. Ayrıca, önem dereceleri konusundaki anlaşmazlıklar, dağıtımların gecikmesine yol açarak kullanıcıları daha uzun süreler boyunca savunmasız bırakabiliyor.
Son güncellemeye göre Microsoft, ZDI ve Trend’i “derinlemesine savunma” başlığıyla övdü ve ZDI’nin raporunun CVE kriterlerini karşılamadığını iddia etti, ancak CheckPoint’ten benzer bir rapora CVE verildi ve güncelleme her iki sorunu da ele aldı. CheckPoint’ten Li, CVE-2024-38112’nin iki Microsoft yamasına yol açtığını belirtiyor.
CVD’deki şeffaflığın eksikliği, kullanıcı güvenliği için önemli sonuçları olan karmaşık bir sorundur. Artan hükümet denetimi ve endüstri girişimleri, olumlu değişim için gerekli itici gücü sağlayabilir.
ZDI, “En Şeffaf İletişim” ve “En Hızlı Yama” gibi kategorilerle güvenlik açığı ifşasında örnek uygulamaları ödüllendirmek için Black Hat’te Vanguard Ödülleri’ni başlatacak ve satıcıları CVD süreçlerini iyileştirmeye teşvik etmeyi amaçlıyor.
İLGİLİ KONULAR
- Dış Varlıklar İçin Güvenlik Açığı Risk Yönetimi
- NIST NVD Durdurulması Binlerce Güvenlik Açığını Etiketsiz Bıraktı
- Flashpoint 100.000’den Fazla Gizli Güvenlik Açığını ve 0 Günü Ortaya Çıkarıyor
- Microsoft, çalınan Dark Web kimlik bilgilerinin kötüye kullanıldığı iddiasıyla dava edildi
- Microsoft, çalışanlarını çevrimiçi güvenlik için CSAM’a maruz bıraktığı gerekçesiyle dava edildi