Microsoft'tan 'Koordinesiz' Açıklamalara Sert Tepki: 6 Sıfırıncı Gün Açığı İfşa Edildi Siber Güvenlik

Microsoft'tan 'Koordinesiz' Açıklamalara Sert Tepki: 6 Sıfırıncı Gün Açığı İfşa Edildi

Microsoft, 6 sıfırıncı gün açığının yamalar hazırlanmadan ifşa edilmesine tepki gösterdi. Şirket, koordinesiz açıklamaların müşterileri riske attığını

Microsoft, yayımladığı yeni bir bildiride, güvenlik araştırmacılarının ürünlerindeki güvenlik açıklarını yamalar hazırlanmadan ve önceden haber vermeksizin kamuoyuna duyurmasını sert bir dille eleştirdi. Teknoloji devi, bu tür 'koordinesiz açıklamaların müşterileri gereksiz riske attığını' belirtti. Bildiride, sorumlu bir şekilde ifşa edilmediği belirtilen 6 sıfırıncı gün açığına yer verildi. Bunlar arasında Microsoft Defender'da ayrıcalık yükseltme ve hizmet reddi açıkları, Windows BitLocker'da güvenlik özelliği atlatma ve Windows Cloud Filter sürücüsünde ayrıcalık yükseltme açıkları bulunuyor.

Bu koordinesiz açıklamalar nedeniyle Microsoft güvenlik ekiplerinin bu açıkları araştırmak, azaltma önlemleri geliştirmek ve güvenlik yamaları üzerinde çalışmak için 'gece gündüz çalıştığı' ifade edildi. Şirket, bu tür açıklamaların yamasız açıklar için istismar kodlarını kötü niyetli aktörlerin eline geçirdiğini ve bunun 'asla haklı çıkarılamayacağını' vurguladı. Microsoft, güvenlik araştırmacılarını endüstri standardı olan Koordineli Güvenlik Açığı Bildirimi (CVD) prosedürlerini takip etmeye çağırdı. CVD sürecinde, açığı bulan kişi ile ürün sahibi, yamalar geliştirilene kadar genellikle 90 günlük bir ambargo süresi üzerinde anlaşırlar.

Siber güvenlik sektöründeki önemli isimler, geleneksel CVD modelinin yeniden düşünülmesi gerektiği konusunda uyarılarda bulunuyor. Bazı uzmanlar, standart 90 günlük ambargonun artık geçerliliğini yitirdiğini belirtiyor. Anchore Güvenlik Başkan Yardımcısı Josh Bressers, CVD'nin ölü olmasa da sağlıklı olmadığını ifade ederek, güvenlik açıklarının katlanarak arttığını ancak güvenlik ekiplerinin buna yetişemediğini söyledi. VulnCheck'ten Patrick Garrity ise CVD'nin hala değerli olduğunu ancak aktif istismar durumlarında zaman çizelgelerinin önemli ölçüde hızlandırılması gerektiğini belirtti.

Uzmanların Görüşleri

RogoLabs kurucusu Jerry Gamblin, 90 günlük pencerenin, bir açığı silah haline getirmenin haftalar aldığı bir dünya için tasarlandığını, ancak artık savunma penceresinin tersine döndüğünü söyledi. Gamblin, AB'nin Siber Dayanıklılık Yasası'nın 72 saatlik bildirim süresi öngördüğünü ve bunun küresel standart haline gelmesi durumunda 90 günlük sürenin bir kalıntı olarak kalacağını belirtti. Uzmanlar, koordinasyonu tamamen terk etmek yerine, tehdit hızına uygun kademeli bir zaman çizelgesi oluşturulması gerektiğini savunuyor. Bu bağlamda, aktif olarak istismar edilen kritik açıklar için 7 gün, düşük önemdeki bulgular için ise 90 günlük tavan süre öneriliyor.

Paylaş: