Microsoft vraagt om meer gedetailleerde pentestrapporten

[Captain Kirk]

Microsoft ontvangt dagelijks pentestrapporten van onderzoekers, klanten en industriepartners waarin staat vermeld dat een bepaald product kwetsbaar voor aanvallen is, maar in veel gevallen ontbreken specifieke details waardoor onduidelijk is of het om een nieuw beveiligingslek gaat, zo meldt de softwaregigant.

Pentesters controleren op verzoek van organisaties en bedrijven de veiligheid van hun systemen en netwerken. Via de rapporten van pentesters kunnen eventueel gevonden problemen worden verholpen. Het is echter belangrijk om deze pentestrapporten in de context van de klant zijn omgeving te zien, zo stelt Christa Anderson van het Microsoft Security Center.

Veel rapporten die Microsoft ontvangt claimen dat een product kwetsbaar voor een aanval is, maar bevatten geen specifieke details over de aanvalsvector of een demonstratie van hoe de kwetsbaarheid kan worden misbruikt. Vaak zijn er daarnaast beschermingsmaatregelen beschikbaar waarmee het gevonden beveiligingsrisico kan worden vermeden, aldus Microsoft. Het gaat dan bijvoorbeeld om maatregelen waarmee bruteforce-aanvallen zijn te voorkomen.

Voordat klanten of onderzoekers een pentestrapport buiten de eigen omgeving delen is het daarom belangrijk om eerst naar de omgeving, gebruikte configuraties en beschikbare beveiligingsmaatregelen te kijken. Als dan alsnog blijkt dat het om een nieuwe kwetsbaarheid gaat waarvoor geen bescherming is vraagt Microsoft om het rapport en de proof-of-concept exploit op te sturen.

 

 

bron: security.nl