Gründe für die Entwicklung des Exploitability Index durch Microsoft

Microsoft hat den Exploitability Index als Reaktion auf Kundenanfragen für zusätzliche Informationen zur besseren Auswertung von Risiken entwickelt. Über die monatliche Sicherheitsupdateversion von Microsoft bietet das Unternehmen seinen Kunden Informationen zu Proof-of-Concept-Code, Exploitcode oder aktiven Angriffen, die von unseren Sicherheitsupdates zum Zeitpunkt der Veröffentlichung behandelt werden.

Funktionsweise des Exploitability Index

Microsoft wertet die potenzielle Ausnutzbarkeit der einzelnen Sicherheitsrisiken mit dem Schweregrad „Wichtig“ oder „Kritisch“ aus, die einem Microsoft-Sicherheitsupdate zugeordnet sind, und veröffentlicht dann die entsprechenden Informationen im Rahmen des monatlichen Microsoft-Sicherheitsupdates. Wenn Microsoft nach der Veröffentlichung der Details feststellt, dass die Bewertung des Exploitability Index geändert werden muss, wird diese Änderung durchgeführt, und Kunden werden über technische Sicherheitsbenachrichtigungen informiert. Das Unternehmen aktualisiert die Bewertung nicht, wenn Exploitcode veröffentlicht wird, der mit den vorhandenen Informationen zur Ausnutzbarkeit übereinstimmt.

Diese Informationen zur Ausnutzbarkeit umfassen Folgendes:
  • Die dem spezifischen Sicherheitsrisiko zugeordnete CVE-ID
  • Die Ausnutzbarkeitsbewertung für die Codeausführung auf dem neuesten Softwarerelease
  • Die aggregierte Ausnutzbarkeitsbewertung für die Codeausführung auf einem älteren Softwarerelease
  • Eine Beschreibung des möglichen Denial-of-Service-Dienstanbieters
Wir definieren das neueste Softwarerelease als neueste Version der Anwendung oder Plattform, die in den Details zum Sicherheitsupdate in der Tabelle „Betroffene Produkte“ aufgeführt ist. Für ältere Softwarereleases gilt wie in den Details der Tabellen „Betroffene Software“ aufgeführt die höchste Bewertung für alle anderen unterstützten Releases.

Beispielsweise hat eine Sicherheitslücke, die in einem Sicherheitsupdate von März 2017 behoben wurde, die folgende Ausnutzbarkeitsbewertung:
Offengelegt Ausgenutzt Aktuelles Softwarerelease Ältere(s) Softwarerelease(s) Denial-of-Service-Angriff
Nein Nein 1 – Ausnutzung wahrscheinlicher 1 – Ausnutzung wahrscheinlicher Nicht zutreffend
Falls mehrere Produktreihen betroffen sind (z. B. ein Sicherheitsrisiko, das Windows und Office betrifft), steht die Bewertung „Aktuelles Softwarerelease“ für die höchste Risikostufe bei beiden Produkten. Wenn in einem solchen Fall die Ausnutzbarkeitsbewertung für die aktuelle Office-Version „1“ und für die aktuelle Windows-Version „2“ ist, wird die Bewertung auf „1“ festgelegt.
In beiden Fällen verwendet der Exploitability Index einen von vier Werten, um dem Kunden die Wahrscheinlichkeit zu vermitteln, dass ein Sicherheitsrisiko ausgenutzt wird. Diese basiert auf den Sicherheitsrisiken, die durch das Microsoft-Sicherheitsupdate behoben werden.
Exploitability Index-Bewertung Kurzdefinition
0 Ausnutzung erkannt
1 Ausnutzung wahrscheinlicher*
2 Ausnutzung weniger wahrscheinlich**
3 Ausnutzung unwahrscheinlich***
0 – Ausnutzung erkannt
Microsoft ist bekannt, dass eine Instanz dieses Sicherheitsrisikos ausgenutzt wird. Deshalb sollten Kunden, die das Sicherheitsupdate überprüft und seine Anwendbarkeit auf die Umgebung bestätigt haben, dieses mit höchster Priorität behandeln.
1 – Ausnutzung wahrscheinlicher
Aus Microsoft-Analysen geht hervor, dass Exploitcode erstellt werden könnte, mit dem ein Angreifer das Sicherheitsrisiko konsistent ausnutzen könnte. Darüber hinaus ist Microsoft bekannt, dass in der Vergangenheit Instanzen dieses Sicherheitsrisikos ausgenutzt wurden. Dadurch wäre es ein attraktives Ziel für Angreifer, und es ist daher wahrscheinlicher, dass Exploits erstellt werden könnten. Deshalb sollten Kunden, die das Sicherheitsupdate überprüft und seine Anwendbarkeit auf die Umgebung bestätigt haben, dieses mit hoher Priorität behandeln.
2 – Ausnutzung weniger wahrscheinlich
Aus Microsoft-Analysen geht hervor, dass zwar Exploitcode erstellt werden könnte, dieser jedoch für einen Angreifer schwer zu schreiben wäre, da spezielle Fachkenntnisse und/oder ein ausgereifter Zeitplan erforderlich wären oder der Angriff auf das betroffene Produkt zu unterschiedlichen Ergebnissen führt. Darüber hinaus hat Microsoft in letzter Zeit keinen Trend beobachtet, dass dieses Sicherheitsrisiko in der Praxis aktiv ausgenutzt wird. Dadurch ist es für Angreifer weniger attraktiv. Kunden, die das Sicherheitsupdate überprüft und seine Anwendbarkeit auf die Umgebung bestätigt haben, sollten dieses dennoch als wichtiges Update behandeln. Wenn sie bereits andere hochgradig ausnutzbare Sicherheitsrisiken priorisieren, kann dieses in der Bereitstellungspriorität niedriger eingestuft werden.
3 – Ausnutzung unwahrscheinlich
Aus Microsoft-Analysen geht hervor, dass bei echten Angriffen nur unwahrscheinlich erfolgreich Exploitcode eingesetzt werden kann. Das bedeutet, dass zwar Exploitcode veröffentlicht werden kann, der das Sicherheitsrisiko auslöst und zu ungewöhnlichem Verhalten führt, aber die vollständige Auswirkung der Ausnutzung eingeschränkt ist. Darüber hinaus hat Microsoft in der Vergangenheit keine Instanzen dieses Sicherheitsrisikos beobachtet, die aktiv ausgenutzt wurden. Folglich ist das Risiko, dass dieses Sicherheitsrisiko tatsächlich ausgenutzt wird, bedeutend niedriger. Daher können Kunden, die das Sicherheitsupdate überprüft haben, um seine Anwendbarkeit auf die Umgebung zu bestimmen, dieses Update in einem Release niedriger als andere Sicherheitsrisiken einstufen.

Die Bewertung für die Ausnutzbarkeit durch einen Denial-of-Service-Angriff kann Folgendes widerspiegeln:
Bewertung: Ausnutzbarkeit durch DoS-Angriff Kurzdefinition
Temporärer Die Ausnutzung dieses Sicherheitsrisikos kann dazu führen, dass das Betriebssystem oder die Anwendung vorübergehend nicht mehr reagiert, bis der Angriff gestoppt wird, oder dass die Anwendung unerwartet beendet, aber automatisch wiederhergestellt wird. Das Ziel kehrt kurz nach dem Angriff zu seiner normalen Funktionsweise zurück.
Permanent Die Ausnutzung dieses Sicherheitsrisikos kann dazu führen, dass das Betriebssystem oder die Anwendung dauerhaft nicht mehr reagiert, bis sie manuell neu gestartet wird, oder dass die Anwendung unerwartet beendet, aber nicht automatisch wiederhergestellt wird.
Wenn ein Sicherheitsrisiko einen permanenten Denial-of-Service-Angriff ermöglichen könnte, muss ein Administrator alle Bestandteile des Systems starten, neu starten oder neu installieren. Hierbei ist zu beachten, dass Sicherheitsrisiken, die das System automatisch neu starten, auch als dauerhafte Denial-of-Service-Angriffe angesehen werden. Darüber hinaus erhalten Clientanwendungen, die üblicherweise interaktiv verwendet werden (z. B. Microsoft Office-Releases), keine Bewertung für die Ausnutzbarkeit durch DoS-Angriffe.

Wichtige Begriffe und Definitionen

Exploitcode: Ein Softwareprogramm oder Beispielcode, das bzw. der bei Verwendung im anfälligen System das Sicherheitsrisiko ausnutzt, um die Identität des Angreifers zu spoofen, Benutzer- oder Systeminformationen zu manipulieren, Aktionen des Angreifers zu verschleiern, Benutzer- oder Systeminformationen auf Serverseite offenzulegen, gültigen Benutzer den Zugriff zu verwehren oder die Rechte des Angreifers zu erhöhen. Wenn durch ein Sicherheitsrisiko beispielsweise die Remoteausführung von Code ermöglicht wird, kann auf dem Zielsystem ausgeführter Exploitcode für diesen Zweck eingesetzt werden.

Auslösen eines Sicherheitsrisikos: Hiermit wird die Möglichkeit des Angreifers bezeichnet, auf den anfälligen Code zuzugreifen. Die maximale Auswirkung wird jedoch nicht immer erzielt. Beispielsweise könnte ein Sicherheitsrisiko, das die Remoteausführung von Code ermöglicht, einfach auszulösen sein, aber lediglich in einem Denial-of-Service-Angriff resultieren.
|

Der Microsoft Exploitability Index bietet zusätzliche Informationen, die Kunden bei der Priorisierung der Bereitstellung monatlicher Sicherheitsupdates unterstützen. Microsoft hat diesen Index entworfen, um Kunden anhand der von Microsoft-Sicherheitsupdates behandelten Sicherheitsrisiken einen Leitfaden zur Wahrscheinlichkeit einer Ausnutzung bereitzustellen.

Kunden haben um weitere Informationen dazu gebeten, wie sie ihre Bereitstellung von Microsoft-Sicherheitsupdates monatlich priorisieren können. Insbesondere wurden Details zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsrisiken angefragt, die mit den Sicherheitsupdates behoben werden. Der Exploitability Index enthält Anleitungen zum tatsächlichen Risiko der Ausnutzung eines Sicherheitsrisikos zum Zeitpunkt der Veröffentlichung des Sicherheitsupdates.

Der Microsoft Exploitability Index konzentriert sich bei der Bewertung auf zwei Aspekte eines Sicherheitsrisikos:
  1. Aktuelle Ausnutzungstrends (basierend auf Telemetriedaten und der Bekanntheit der Ausnutzung eines bestimmten Sicherheitsrisikos in einem bestimmten Produkt)
  2. Die Kosten und die Zuverlässigkeit beim Erstellen eines erfolgreichen Exploit für das Sicherheitsrisiko (basierend auf einer technischen Analyse des Sicherheitsrisikos)

Obwohl die Vorhersage von Aktivitäten innerhalb des Sicherheitsökosystems immer schwierig ist, gibt es drei Gründe, die für dieses System sprechen.
Erstens haben wir in den letzten Jahren erkannt, dass viele Sicherheitsexperten die Updates, die mit den Sicherheitsupdates von Microsoft verknüpft sind, am Tag der Veröffentlichung zum Erstellen und Auswerten von Schutzmaßnahmen analysieren. Dabei erstellen viele dieser Experten auch Exploitcode, um diese zu testen. Hierbei wird die gleiche Methodik zur Entwicklung dieses Exploitcodes verwendet wie die, mit der Microsoft die Wahrscheinlichkeit bestimmt, dass Exploitcode veröffentlicht wird. Microsoft analysiert die Updates, die Art des Sicherheitsrisikos und die Bedingungen, die erfüllt sein müssen, damit ein Exploit erfolgreich ausgeführt werden kann.
Zweitens werden nicht alle Sicherheitsrisiken ausgenutzt, die durch unsere Sicherheitsupdates behoben werden. Ein Sicherheitsrisiko kann technisch gesehen mit hoher Zuverlässigkeit ausgenutzt werden, aber möglicherweise wird es gar nicht ausgenutzt. Wir überwachen und verfolgen fortlaufend die Exploitaktivitäten, um über aktuelle Trends informiert zu bleiben. So entscheiden wir, welches Sicherheitsrisiko besonders attraktiv für einen Exploit ist, und können tatsächliche Risiken ermitteln, die ausgeschaltet werden müssen, anstatt nur ein potenzielles Sicherheitsrisiko aus einem Patch auszuschalten.

Außerdem pflegen wir über das Microsoft Active Protections Program (MAPP) Partnerschaften mit Anbietern für Sicherheitsdienstleistungen. Durch die Zusammenarbeit mit diesen können wir unsere Vorhersagen monatlich validieren. Zudem wird ein Communityansatz verwendet, um die Genauigkeit anhand von Informationsfreigabe zu erhöhen.

Das Security Update Severity Rating System geht davon aus, dass ein Exploit erfolgreich ist. Bei einigen Sicherheitsrisiken mit hoher Ausnutzbarkeit trifft diese Annahme für eine breite Gruppe von Angreifern sehr wahrscheinlich zu. Bei anderen Sicherheitsrisiken, bei denen die Ausnutzbarkeit gering ist, trifft diese Annahme nur dann zu, wenn ein engagierter Angreifer viele Aufwand in die erfolgreiche Ausführung des Angriffs investiert. Unabhängig vom Schweregrad oder der Bewertung des Exploitability Index empfiehlt Microsoft stets, dass die Kunden alle anwendbaren und verfügbaren Updates bereitstellen. Diese Bewertungsinformationen können anspruchsvolleren Kunden jedoch dabei helfen, ihre Vorgehensweise für die monatlichen Releases zu priorisieren.

Der Exploitability Index unterscheidet nicht zwischen den verschiedenen Sicherheitsrisiken. Der Schwerpunkt liegt auf der Wahrscheinlichkeit der Ausnutzung der einzelnen Sicherheitsrisiken innerhalb des Bereichs des insgesamten Auswirkungspotenzials. Jedes Sicherheitsrisiko kann also unabhängig davon, ob es sich beispielsweise um die Remoteausführung von Code oder Manipulation handelt, mit jeder beliebigen Bewertung des Exploitability Index bewertet werden.

Die Bewertung einer möglichen Ausnutzung von Sicherheitsrisiken ist eine sich entwickelnde Wissenschaft. Deshalb können neue Techniken für Exploits, spezifische Techniken für ein Sicherheitsrisiko oder neue Trends in erkannten Exploits bestimmter Produkte entwickelt werden, die sich auf die Bewertung des Exploitability Index auswirken. Der Exploitability Index ist jedoch dafür gedacht, dass Kunden Updates für das aktuelle monatliche Release priorisieren. Wenn also Informationen vorhanden sind, die eine im ersten Monat eines Sicherheitsreleases veröffentlichte Bewertung ändern würden, aktualisiert Microsoft den Exploitability Index. Wenn in den nachfolgenden Monaten Informationen verfügbar werden, wird der Exploitability Index nicht aktualisiert, da die meisten Kunden ihre Entscheidungen bereits getroffen haben und eine Änderung daher nicht mehr nützlich ist. Wenn die Bewertung eines Exploitability Index so korrigiert wird, dass ein erhöhtes Risiko für Kunden widergespiegelt wird, wird die Sicherheitsupdaterevision um eine Hauptversionsnummer erhöht (z. B. von 1.0 auf 2.0). Wenn das Risiko nach unten angepasst wird, wird die Updaterevision um eine Nebenversionsnummer (z. B. von 1.0 auf 1.1) erhöht.

Der Exploitability Index ist separat und steht nicht mit anderen Bewertungssystemen in Verbindung. Das MSRC trägt jedoch als Mitglied zum Common Vulnerability Scoring System (CVSS) bei, und Microsoft teilt Erfahrungen und Kundenfeedback zum Erstellen und Veröffentlichen des Exploitability Index mit der Arbeitsgruppe, damit das CVSS effektiv und nützlich ist und bleibt.