Aggiornamenti recenti Novembre 29th, 2023 9:35 AM
Mag 26, 2023 Marina Londei Approfondimenti, Minacce, RSS, Vulnerabilità 0
Il Patch Tuesday di Microsoft ha senza dubbio migliorato la sicurezza dei suoi clienti, e il programma, arrivato quest’anno alla sua ventesima edizione, ha avuto talmente tanto successo da essere stato riproposto anche da altre realtà tech.
Come però fa notare Jacob Baines, ricercatore di sicurezza presso VulnCheck, la qualità dei dettagli delle vulnerabilità pubblicati dall’azienda si è ridotta nel corso degli anni. Baines ha comparato la descrizione di una vulnerabilità del 2017 con quella di QueueJumper del 2023: nel primo caso la descrizione conteneva indicazioni sulle applicazioni colpite, dettagli sulla classe della vulnerabilità e il vettore d’attacco; nel secondo caso il testo è una sola riga priva di tutti i dettagli utili.
Il confronto non si è limitato a pochi casi isolati: Baines ha analizzato le descrizioni CVE di Microsoft a partire dal 2003 calcolando una media del numero di caratteri, e ne è emerso un trend discendente che è crollato negli ultimi due anni.
L’assenza di descrizioni appropriate è un problema per i team di sicurezza: non riescono a dare la giusta priorità ai fix ed è difficile per loro capire quali sono le conseguenze della vulnerabilità.
Pixabay
Le CVE condivise da Microsoft non rispettano i requisiti descrittivi imposti da MITRE, ma l’organizzazione non ha ancora preso provvedimenti. A riprova del fatto che le descrizioni delle vulnerabilità di Microsoft siano incomplete, Braines ha provato a seguire le indicazioni del Common Weakness Enumeration (CWE), il sistema più usato per categorizzare le vulnerabilità in classi di rischio e tipologia.
Se la descrizione della vulnerabilità non contiene informazioni utili e sufficienti per categorizzarla, allora CWE assegna la categoria “noinfo” per indicare la mancanza di dettagli necessari; questo è ciò che è accaduto per la maggior parte delle vulnerabilità Microsoft del 2022. Al contrario, nel 2015 la categoria “noinfo” era stata assegnata solo a una manciata di CVE dell’azienda.
Non solo Microsoft non condivide informazioni dettagliate nel dizionario CVE: l’azienda non mantiene aggiornati i propri avvisi di sicurezza, rendendo più difficile il lavoro dei team di cybersecurity, costretti a cercare fonti esterne per comprendere l’impatto delle minacce.
Non sono chiari i motivi per cui Microsoft abbia deciso di ridurre al minimo le descrizioni; una possibilità è che non voglia facilitare il lavoro agli attaccanti. Al momento, però, l’unica conseguenza davvero significativa l’hanno subita i team di sicurezza.
Nov 28, 2023 0
Nov 15, 2023 0
Nov 02, 2023 0
Ott 31, 2023 0
Nov 29, 2023 0
Nov 28, 2023 0
Nov 27, 2023 0
Nov 27, 2023 0
Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Nov 20, 2023 0
Secondo l’ultima ricerca di Bitdefender, le truffe...Nov 20, 2023 0
Il 2024 segnerà la diffusione degli attacchi informatici...Nov 15, 2023 0
Nel discutere dei rischi legati all’intelligenza...Nov 15, 2023 0
I cyberattacchi costituiscono un serio problema per...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Nov 29, 2023 0
Durante il re:Invent, la conferenza annuale di Amazon Web...Nov 28, 2023 0
Microsoft ha annunciato che Defender Application Guard for...Nov 28, 2023 0
L’autorità idrica comunale di Aliquippa, una città...Nov 27, 2023 0
I ricercatori di Bitdefender hanno individuato nuovi metodi...Nov 24, 2023 0
I ricercatori di Akamai hanno scoperto individuato nuove...