最后更新于2024年2月3日(星期六)22:10:00 GMT

Hey all. 我正要出发去 RSAC 2022, 但是我想记下我最近对协调漏洞披露(CVD)中偶尔出现的一个特别古怪的问题的一些想法——沉默补丁的问题, 以及它们如何倾向于帮助专注的攻击者并伤害IT保护人员.

在过去糟糕的日子里, 大多数主要的软件供应商都因将漏洞报告隐藏起来而臭名昭著. 它们使得合法的研究人员很难报告漏洞, 通常是偶然的, 偶尔故意的. 研究人员会报告bug, 这些报告会在无人观察的空间里溃烂, 然后突然间,概念验证漏洞就不再有效了. 这曾经是(现在也是)标准的静默补丁模型. 没有信用,没有解释,没有CVE ID,什么都没有.

不过,这种做法的理由似乎相当合理. 为什么供应商要特意解释安全修复程序的作用? After all, 如果你知道补丁的原理, 那么你对漏洞的根本原因就有了一个很好的猜测, therefore, 这个漏洞是如何工作的. So, 通过公布这些补丁细节, 你实际上是在引导攻击者找到货物, 基于您自己的文档. Not cool, right?

So, 自然的结论是,通过将给定漏洞的技术细节限制为仅仅是补丁内容, 通过保留那些在计划语言中解释的细节以及概念验证漏洞代码、截图和视频等等, 您限制了真正了解漏洞以及如何利用它的人的一般知识库.

打开无声补丁

这听起来是个不错的计划,但有个问题. 当软件公司发布 软件补丁, 在几乎所有的情况下, 他们没有使用外国包装商, 他们没有使用反取证, 即使补丁数据被加密和混淆, 在某种程度上,它必须修改正在运行的软件上的代码——这意味着任何拥有补丁软件运行实例并知道如何使用调试器和反汇编器的人都可以使用这些代码. 谁使用调试器来检查补丁的效果? 利用开发者,几乎是专门的.

知道了这一点,让我们修改无声补丁策略的期望: 当你默默地打补丁, 您打算将修补漏洞的知识限制给熟练的漏洞利用开发人员.

您仍然排除了偶然的攻击者(或“脚本小子”),用一般的说法), 这很好,也很可取. 然而,你也排除了大量的IT保护人员: 渗透测试人员 谁受雇编写和运行漏洞来测试防御, 除了那些编写和部署防御技术的人,比如漏洞管理, 入侵检测和防御, 事件检测, 还有其他的. 你还排除了科技记者, academics, 以及想要理解和交流软件漏洞本质的政策制定者, 但他们不太可能找到一个拆解器.

最重要的是, 你排除了补丁最重要的受众:常规的IT管理员和管理人员,他们需要根据某些风险和严重性标准整理进入的补丁流,并根据该标准调用停机时间和更新计划. 并不是所有的漏洞都是一样的, 当保护者想要接近他们所有人的时候, 他们需要弄清楚哪些是今天应用的,哪些可以等到下一个维护周期.

By the way, 的确,其中一些it专业人员也有能力对您的补丁进行逆向工程. In practice, 那些只对保持IT运转感兴趣的人永远不会, 要对补丁进行反向操作,看看它们是否值得使用. 这太复杂,太耗时了. 我从来没有见过这样的案例,这是现在或以后修补的决策过程的一部分.

不要让防守者蒙在鼓里

所以现在,让我们再次审视无声补丁的情况: 当你默默地打补丁, 您正在通信漏洞详细信息, exclusively, to skilled, 专门针对你的产品的犯罪攻击者, 把你的顾客蒙在鼓里. 你故意隐瞒信息不让偶然的攻击者知道, 二次后卫, 以及您的客户和用户,他们迫切希望做出涉及您的产品或项目的明智的安全工程决策. Oh, 我们不要忘记, 您还限制了未来员工和贡献者对这些已修复漏洞的了解, 谁很可能会在你的产品中重新引入相同或类似的漏洞. 毕竟,细节是保密的,即使对未来的你也是如此.

这一切都是要说的, 沉默修补等同于向一小部分想要伤害你和你的用户的用户全面披露信息. 完全文档化的补丁达到了很大的效果, 更多的观众, 现在和将来, 谁愿意帮助你和你的用户. 当然,你也为那些偶尔的攻击者提供了教育机会, 我相信全球的随意攻击者数量很多, 比你的合法用户和所有站在你这边的二级和三级防御者要小得多.

So, 下次漏洞研究人员声明他们打算发布他们报告的漏洞(现在已经修补)的详细信息, 试着检查一下你想要隐藏这些细节的冲动, 甚至可能鼓励他们诚实和透明地公布他们的发现. 另一种选择是,建立真正的犯罪和间谍企业的作战能力,同时降低IT保护人员的决策权.

更多阅读:

不要错过任何一个博客

获取有关安全的最新故事、专业知识和新闻.