Aggiornamenti recenti Novembre 29th, 2023 9:35 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- AWS presenta Amazon One Enterprise per autenticarsi col palmo della mano
- Defender Application Guard for Office è ufficialmente deprecato
- Un gruppo hacktivista iraniano ha colpito un centro idrico in Pennsylvania
- I trend delle minacce APT del 2024
- Scoperte nuove tecniche di attacco contro Google Workspace
Microsoft trascura la qualità degli avvisi di sicurezza
Il Patch Tuesday di Microsoft ha senza dubbio migliorato la sicurezza dei suoi clienti, e il programma, arrivato quest’anno alla sua ventesima edizione, ha avuto talmente tanto successo da essere stato riproposto anche da altre realtà tech.
Come però fa notare Jacob Baines, ricercatore di sicurezza presso VulnCheck, la qualità dei dettagli delle vulnerabilità pubblicati dall’azienda si è ridotta nel corso degli anni. Baines ha comparato la descrizione di una vulnerabilità del 2017 con quella di QueueJumper del 2023: nel primo caso la descrizione conteneva indicazioni sulle applicazioni colpite, dettagli sulla classe della vulnerabilità e il vettore d’attacco; nel secondo caso il testo è una sola riga priva di tutti i dettagli utili.
Il confronto non si è limitato a pochi casi isolati: Baines ha analizzato le descrizioni CVE di Microsoft a partire dal 2003 calcolando una media del numero di caratteri, e ne è emerso un trend discendente che è crollato negli ultimi due anni.
L’assenza di descrizioni appropriate è un problema per i team di sicurezza: non riescono a dare la giusta priorità ai fix ed è difficile per loro capire quali sono le conseguenze della vulnerabilità.
Pixabay
Le CVE condivise da Microsoft non rispettano i requisiti descrittivi imposti da MITRE, ma l’organizzazione non ha ancora preso provvedimenti. A riprova del fatto che le descrizioni delle vulnerabilità di Microsoft siano incomplete, Braines ha provato a seguire le indicazioni del Common Weakness Enumeration (CWE), il sistema più usato per categorizzare le vulnerabilità in classi di rischio e tipologia.
Se la descrizione della vulnerabilità non contiene informazioni utili e sufficienti per categorizzarla, allora CWE assegna la categoria “noinfo” per indicare la mancanza di dettagli necessari; questo è ciò che è accaduto per la maggior parte delle vulnerabilità Microsoft del 2022. Al contrario, nel 2015 la categoria “noinfo” era stata assegnata solo a una manciata di CVE dell’azienda.
Non solo Microsoft non condivide informazioni dettagliate nel dizionario CVE: l’azienda non mantiene aggiornati i propri avvisi di sicurezza, rendendo più difficile il lavoro dei team di cybersecurity, costretti a cercare fonti esterne per comprendere l’impatto delle minacce.
Non sono chiari i motivi per cui Microsoft abbia deciso di ridurre al minimo le descrizioni; una possibilità è che non voglia facilitare il lavoro agli attaccanti. Al momento, però, l’unica conseguenza davvero significativa l’hanno subita i team di sicurezza.
Condividi l'articolo
Una vulnerabilità di Keepass rende accessibile la master password
Microsoft e i fix inefficaci: trovata una vulnerabilità nella patch per Outlook
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe... -
Nel 2024 gli attaccanti colpiranno il cloud per configurare... Il 2024 segnerà la diffusione degli attacchi informatici... -
Quanto è bravo ChatGPT a scrivere malware? Nel discutere dei rischi legati all’intelligenza... -
Migliorare la cybersecurity aziendale coinvolgendo la board... I cyberattacchi costituiscono un serio problema per...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for... -
Un gruppo hacktivista iraniano ha colpito un centro idrico... L’autorità idrica comunale di Aliquippa, una città... -
Scoperte nuove tecniche di attacco contro Google Workspace I ricercatori di Bitdefender hanno individuato nuovi metodi... -
WSO-NG, la web shell che si nasconde dietro un 404 I ricercatori di Akamai hanno scoperto individuato nuove...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
