Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Mag 26, 2023 Marina Londei Approfondimenti, Minacce, RSS, Vulnerabilità 0
Il Patch Tuesday di Microsoft ha senza dubbio migliorato la sicurezza dei suoi clienti, e il programma, arrivato quest’anno alla sua ventesima edizione, ha avuto talmente tanto successo da essere stato riproposto anche da altre realtà tech.
Come però fa notare Jacob Baines, ricercatore di sicurezza presso VulnCheck, la qualità dei dettagli delle vulnerabilità pubblicati dall’azienda si è ridotta nel corso degli anni. Baines ha comparato la descrizione di una vulnerabilità del 2017 con quella di QueueJumper del 2023: nel primo caso la descrizione conteneva indicazioni sulle applicazioni colpite, dettagli sulla classe della vulnerabilità e il vettore d’attacco; nel secondo caso il testo è una sola riga priva di tutti i dettagli utili.
Il confronto non si è limitato a pochi casi isolati: Baines ha analizzato le descrizioni CVE di Microsoft a partire dal 2003 calcolando una media del numero di caratteri, e ne è emerso un trend discendente che è crollato negli ultimi due anni.
L’assenza di descrizioni appropriate è un problema per i team di sicurezza: non riescono a dare la giusta priorità ai fix ed è difficile per loro capire quali sono le conseguenze della vulnerabilità.
Pixabay
Le CVE condivise da Microsoft non rispettano i requisiti descrittivi imposti da MITRE, ma l’organizzazione non ha ancora preso provvedimenti. A riprova del fatto che le descrizioni delle vulnerabilità di Microsoft siano incomplete, Braines ha provato a seguire le indicazioni del Common Weakness Enumeration (CWE), il sistema più usato per categorizzare le vulnerabilità in classi di rischio e tipologia.
Se la descrizione della vulnerabilità non contiene informazioni utili e sufficienti per categorizzarla, allora CWE assegna la categoria “noinfo” per indicare la mancanza di dettagli necessari; questo è ciò che è accaduto per la maggior parte delle vulnerabilità Microsoft del 2022. Al contrario, nel 2015 la categoria “noinfo” era stata assegnata solo a una manciata di CVE dell’azienda.
Non solo Microsoft non condivide informazioni dettagliate nel dizionario CVE: l’azienda non mantiene aggiornati i propri avvisi di sicurezza, rendendo più difficile il lavoro dei team di cybersecurity, costretti a cercare fonti esterne per comprendere l’impatto delle minacce.
Non sono chiari i motivi per cui Microsoft abbia deciso di ridurre al minimo le descrizioni; una possibilità è che non voglia facilitare il lavoro agli attaccanti. Al momento, però, l’unica conseguenza davvero significativa l’hanno subita i team di sicurezza.
Lug 19, 2024 0
Lug 17, 2024 0
Lug 09, 2024 0
Giu 29, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 24, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...