Sistema de classificação de gravidade dos Boletins de segurança publicados pelo Centro de resposta de segurança da Microsoft (Revisto, Novembro de 2002)
A missão do Centro de resposta de segurança da Microsoft (MSRC - Microsoft Security Response Center ) é ajudar os clientes a trabalhar com segurança com os seus sistemas e redes. A componente principal desta missão implica avaliar informações que nos chegam através dos clientes referentes a eventuais vulnerabilidades detectadas em produtos Microsoft e, na medida do necessário, assegurar a produção e divulgação de patches e boletins de segurança que respondem a relatórios bona fide.
O centro MSRC publica um boletim para qualquer vulnerabilidade identificada num produto, que, de acordo com a avaliação efectuada, possa ter consequências sobre vários sistemas dos clientes, independentemente do grau de probabilidade e eventual limitação do impacto. Contudo, esta abordagem cautelosa à identificação de vulnerabilidades que requerem uma acção da nossa parte pode também dificultar para muitos clientes a capacidade de identificação das vulnerabilidades que representam riscos especialmente significativos.
A experiência do nosso sector indica que os ataques que têm um impacto real sobre os sistemas dos clientes raramente resultam da exploração por parte de intrusos de vulnerabilidades previamente desconhecidas. Pelo contrário, como aconteceu nos casos dos vírus worm Code Red e Nimda, a forma típica dos ataques é a exploração de vulnerabilidades para as quais já existiam patches há algum tempo, mas os quais não estavam a ser aplicados.
Nem todas as vulnerabilidades têm o mesmo grau de impacto sobre todos os utilizadores. Este documento apresenta o nosso sistema de classificação de gravidade para os boletins de segurança. Este sistema, que foi revisto em Novembro de 2002, com base no feedback recebido dos nossos clientes, tem como objectivo ajudar os clientes a decidir quais os patches que devem aplicar, de forma a evitarem o impacto de diferentes ataques, nas suas circunstâncias particulares de utilização e qual a urgência com que devem executar essas acções. Os clientes pediram-nos para incluirmos esta informação nos nossos boletins, de forma a auxiliá-los a avaliar melhor o risco.
Sistema de classificação de gravidade
O sistema de classificação de gravidade apresenta uma única classificação para cada vulnerabilidade. Apresentamos a seguir os termos associados ao sistema de classificação e as respectivas definições:
| Classificação | Definição |
Crítica | Uma vulnerabilidade cuja exploração pode permitir a propagação de um worm pela Internet sem necessidade de qualquer acção por parte do utilizador. |
Importante | Uma vulnerabilidade cuja exploração poderia resultar no comprometimento da confidencialidade, integridade, ou disponibilidade dos dados dos utilizadores, ou da integridade ou disponibilidade de recursos de processamento. |
Moderada | A possibilidade de exploração da vulnerabilidade é atenuada até um grau significativo por factores como as pré-definições dos sistemas, os sistemas de verificação e auditorias de segurança, ou dificuldades técnicas de exploração. |
Baixa | Uma vulnerabilidade cuja exploração é extremamente difícil, ou cujo impacto é mínimo. |
Quando apropriado, indicaremos os casos em que o grau de gravidade de uma vulnerabilidade depende do ambiente, ou forma de utilização do sistema. As classificações partem do princípio cauteloso de que a vulnerabilidade é conhecida e que o código ou scripts que a exploram estão largamente disponíveis.
Utilização do sistema
Aplicamos este sistema de classificação de gravidade a todos os boletins de segurança publicados a partir desta data. No que toca aos patches que resolvem diversas vulnerabilidades, classificá-los-emos de acordo com a vulnerabilidade mais grave que eliminam. Para além disso, o boletim associado apresenta as classificações para cada questão descrita.
Consideramos que os clientes que usam um produto afectado devem, em praticamente qualquer circunstância, aplicar os patches que resolvem as vulnerabilidades consideradas críticas ou importantes. Em relação aos patches classificados como críticos, os clientes devem ter um cuidado especial com a prontidão com que devem ser aplicados. Os clientes devem ler o boletim de segurança associado com qualquer vulnerabilidade classificada como moderada ou baixa, de forma a determinarem se é provável que a vulnerabilidade afecte a sua configuração específica. Os patches classificados com gravidade baixa têm um baixo grau de probabilidade de afectar um elevado número de clientes.
Apesar de este sistema de classificação de gravidade ter como objectivo permitir uma avaliação objectiva de cada questão discutida, recomendamos vivamente que os clientes usem os seus próprios meios de avaliação do impacto sobre os seus ambientes e tomem decisões informadas sobre a necessidade dos patches para a real protecção dos seus sistemas.
As respostas a perguntas frequentes sobre as modificações efectuadas em Novembro de 2002 ao sistema de classificação de gravidade são apresentadas aqui.
