Por qué Microsoft desarrolló el índice de explotabilidad

Microsoft desarrolló el índice de explotabilidad para satisfacer las solicitudes de los clientes de contar con información adicional para realizar una evaluación más exhaustiva del riesgo. Mediante la publicación de las actualizaciones de seguridad mensuales de Microsoft, la empresa ofrece información a los clientes sobre el código de la prueba de concepto, el código de la vulnerabilidad de seguridad o los ataques activos abordados en las actualizaciones de seguridad, en el momento de su publicación.

Cómo funciona el índice de explotabilidad

Microsoft evalúa la explotabilidad potencial de cada vulnerabilidad de gravedad importante o crítica asociada con una actualización de seguridad de Microsoft y, después, publica la información de explotabilidad como parte de los detalles de las actualizaciones de seguridad mensuales de Microsoft. Si, tras publicar los detalles, Microsoft determina que la evaluación del índice de explotabilidad justifica un cambio, modificará la evaluación e informará a los clientes mediante notificaciones de seguridad técnicas. La empresa no actualizará la evaluación cuando se publique código de vulnerabilidades de seguridad que coincida con la información de explotabilidad existente.

Esta información de explotabilidad incluye:
  • el identificador de CVE asociado con la vulnerabilidad específica,
  • la evaluación de explotabilidad de la ejecución del código en la última versión de software,
  • la evaluación de explotabilidad agregada de la ejecución del código en versiones de software anteriores y
  • una descripción del potencial de denegación de servicio.
Definimos la "última versión de software" como la versión más reciente de la aplicación o plataforma indicada en la tabla "Productos afectados" de los detalles de las actualizaciones de seguridad. Para las "versiones de software anteriores", la calificación más alta pertenece a todas las demás versiones compatibles, como se indica en las tablas "Software afectado" de los detalles.

Por ejemplo, una vulnerabilidad abordada en la actualización de seguridad de marzo de 2017 tiene la siguiente evaluación de explotabilidad:
Divulgación pública Aprovechado Última versión de software Versiones de software anteriores Denegación de servicio
No No 1: aprovechamiento más probable 1: aprovechamiento más probable No aplicable
En aquellos escenarios en los que se ven afectadas varias series de productos, por ejemplo, una vulnerabilidad de seguridad que afecta tanto a Windows como a Office, la calificación de la "última versión de software" refleja el nivel de riesgo más alto en ambos productos. En este caso, si la evaluación de explotabilidad de la última versión de Office es "1", y en la última versión de Windows es "2", la calificación reflejará "1".
En ambos casos, el índice de explotabilidad usa uno de cuatro valores para comunicar a los clientes la probabilidad de que se saque provecho de una vulnerabilidad, en función de las vulnerabilidades abordadas en la actualización de seguridad de Microsoft.
Valoración del índice de explotabilidad Definición breve
0 Aprovechamiento detectado
1 Aprovechamiento más probable *
2 Aprovechamiento menos probable **
3 Aprovechamiento poco probable ***
0: aprovechamiento detectado
Microsoft es consciente del aprovechamiento de una instancia de esta vulnerabilidad. Por ello, los clientes que han revisado la actualización de seguridad y han determinado su aplicabilidad dentro de su entorno deben tratarla con la máxima prioridad.
1: aprovechamiento más probable
El análisis de Microsoft ha revelado que el código de la vulnerabilidad de seguridad podría crearse de tal forma que un atacante pudiera aprovechar esta vulnerabilidad de forma coherente. Además, Microsoft es consciente del aprovechamiento de las instancias anteriores de este tipo de vulnerabilidad. Esto lo convertiría en un objetivo atractivo para los atacantes y, por tanto, sería más probable que se crearan vulnerabilidades de seguridad. Como tal, los clientes que han revisado la actualización de seguridad y han determinado su aplicabilidad dentro de su entorno deben tratarla con una prioridad más alta.
2: aprovechamiento menos probable
El análisis de Microsoft ha revelado que, aunque se podría crear el código de la vulnerabilidad de seguridad, un atacante posiblemente tendría dificultades para crear el código, ya que necesitaría experiencia, un control del tiempo sofisticado o resultados variados al dirigirse al producto afectado. Asimismo, Microsoft no ha observado recientemente que se aproveche de forma activa una tendencia de este tipo de vulnerabilidad en su entorno. Esto lo convierte en un objetivo menos atractivo para los atacantes. Dicho esto, los clientes que han revisado la actualización de seguridad y han determinado su aplicabilidad dentro de su entorno deben seguir tratándola como una actualización importante. Si están estableciendo prioridades con respecto a otras vulnerabilidades muy aprovechables, pueden clasificar esta con una prioridad más baja en la implementación.
3: aprovechamiento poco probable
El análisis de Microsoft ha revelado que es poco probable que el código de la vulnerabilidad de seguridad activa se utilice correctamente en los ataques reales. Esto significa que, aunque podría ser posible que se publicara el código de la vulnerabilidad de seguridad que desencadenara la vulnerabilidad y causara un comportamiento anormal, el impacto total del aprovechamiento será más limitado. Asimismo, Microsoft no ha observado un aprovechamiento activo en el pasado de instancias de este tipo de vulnerabilidad. De este modo, el riesgo real de sacar provecho de esta vulnerabilidad es bastante más bajo. Por tanto, los clientes que han revisado la actualización de seguridad para determinar su aplicabilidad dentro de su entorno podrían priorizar esta actualización por debajo de otras vulnerabilidades dentro de una versión.

La evaluación de explotabilidad de ataques DoS puede reflejar lo siguiente:
Valoración de explotabilidad de ataques DoS Definición breve
Temporal El aprovechamiento de esta vulnerabilidad puede provocar que el sistema operativo o la aplicación dejen de responder temporalmente, hasta que se detenga el ataque, o bien que se cierre inesperadamente, pero con una recuperación automática. El objetivo vuelve al nivel normal de funcionalidad poco después de que finalice el ataque.
Permanentes El aprovechamiento de esta vulnerabilidad puede provocar que el sistema operativo o la aplicación dejen de responder de forma permanente, hasta que se reinicien manualmente, o que se cierren de forma inesperada sin una recuperación automática.
Si una vulnerabilidad pudiera permitir una denegación de servicio permanente, requiere que el administrador inicie, reinicie o reinstale todo el sistema o solo algunas partes. Se debe tener en cuenta que cualquier vulnerabilidad que reinicie automáticamente el sistema también se considera como un ataque DoS permanente. Además, las aplicaciones cliente que normalmente están diseñadas para un uso interactivo, como las versiones de Microsoft Office, no se someterían a una evaluación de explotabilidad de ataques DoS.

Definiciones y términos importantes

Código de la vulnerabilidad de seguridad: un programa de software que, cuando se ejecuta contra un sistema vulnerable, usa la vulnerabilidad para suplantar la identidad del atacante, interferir con la información del usuario o del sistema, rechazar la acción del atacante, divulgar información sobre el usuario o el sistema en el lado servidor, denegar el servicio a usuarios válidos o elevar los privilegios del atacante. Por ejemplo, si una vulnerabilidad tuvo un impacto en la seguridad por la ejecución de código remoto, el código de la vulnerabilidad de seguridad podría provocar la ejecución del código remoto cuando se ejecuta contra un sistema objetivo.

Desencadenar una vulnerabilidad: capacidad de acceder al código vulnerable, pero sin conseguir siempre el máximo impacto. Por ejemplo, puede ser fácil desencadenar una vulnerabilidad de ejecución de código remoto, pero el efecto resultante puede que solo sea una denegación de servicio.
|

El índice de explotabilidad de Microsoft ofrece información adicional para ayudar a los clientes a priorizar la implementación de las actualizaciones de seguridad mensuales. Microsoft diseñó este índice para proporcionar a los clientes directrices sobre la probabilidad de aprovechamiento, en función de cada vulnerabilidad abordada en las actualizaciones de seguridad de Microsoft.

Los clientes solicitaron más información para ayudarlos a priorizar la implementación de las actualizaciones de seguridad de Microsoft cada mes, sobre todo con la solicitud de detalles sobre la probabilidad de aprovechamiento de las vulnerabilidades abordadas en las actualizaciones de seguridad. El índice de explotabilidad ofrece directrices sobre el riesgo real de aprovechamiento de una vulnerabilidad en el momento de la publicación de la actualización de seguridad.

El índice de explotabilidad de Microsoft se centra en dos aspectos de una vulnerabilidad para valorar su gravedad:
  1. Tendencias de aprovechamiento actuales, basadas en los datos de telemetría y en el reconocimiento del aprovechamiento de un tipo de vulnerabilidad particular en un producto determinado
  2. El costo y la confiabilidad de la creación de una vulnerabilidad de seguridad activa para la vulnerabilidad, según un análisis técnico de la vulnerabilidad

Si bien predecir la actividad de manera confiable dentro del ecosistema de seguridad siempre es complicado, hay tres motivos por los que este sistema debe ser útil.
Primero, durante los últimos años, nos hemos dado cuenta de que muchos investigadores de seguridad analizan las actualizaciones asociadas con las actualizaciones de seguridad de Microsoft el día de su publicación para crear y evaluar las protecciones. De este modo, muchos de estos investigadores también crean el código de la vulnerabilidad de seguridad para probarlas. La metodología utilizada para desarrollar este código de la vulnerabilidad de seguridad es como la que Microsoft usa para determinar la probabilidad de publicación de dicho código. Microsoft analiza las actualizaciones, la naturaleza de la vulnerabilidad y las condiciones que se deben cumplir para que una vulnerabilidad de seguridad se ejecute correctamente.
Segundo, no siempre se saca provecho de todas las vulnerabilidades resueltas por nuestras actualizaciones de seguridad. Puede que una vulnerabilidad sea técnicamente aprovechable con un alto nivel de confiabilidad, pero que nunca se saque provecho de ella. Supervisamos y controlamos continuamente la actividad de aprovechamiento para mantenernos al día de las tendencias actuales. Esto, a su vez, nos permite hacernos una idea más clara de lo que constituye una vulnerabilidad más atractiva con respecto a vulnerabilidades afines, además de permitirnos comunicar con más precisión un riesgo real, en lugar de uno potencial, a raíz de las vulnerabilidad a las que aplicamos revisiones.

Por último, también colaboramos con proveedores de protección en el marco del Programa de protecciones activas de Microsoft (MAPP), para facilitar la validación de nuestras predicciones cada mes, a fin de aplicar un enfoque comunitario para garantizar una mayor precisión mediante el uso compartido de la información.

El sistema de valoración de la gravedad de las actualizaciones de seguridad asume que el aprovechamiento resultará satisfactorio. En el caso de algunas vulnerabilidades en las que la explotabilidad es alta, es posible que se cumpla este supuesto con un amplio abanico de atacantes. Si se trata de otras vulnerabilidades en las que la explotabilidad es baja, puede que este supuesto solo se cumpla cuando un atacante dedicado emplea muchos recursos para garantizar el éxito de su ataque. Con independencia de la gravedad o explotabilidad de la valoración de la gravedad del índice de explotabilidad, Microsoft siempre recomienda que los clientes implementen todas las actualizaciones aplicables y disponibles; no obstante, esta información sobre la valoración de la gravedad puede ayudar a los clientes sofisticados a dar prioridad a su enfoque en la versión de cada mes.

El índice de explotabilidad no diferencia entre los tipos de vulnerabilidades. Se centra en la probabilidad de aprovechamiento de cada vulnerabilidad dentro del intervalo de su impacto potencial total. Por tanto, cualquier vulnerabilidad, ya sea ejecución de código remoto, manipulación u otra, podría calificarse con cualquier valoración de la gravedad del índice de explotabilidad.

La capacidad de calificar el posible aprovechamiento de las vulnerabilidades es una cuestión en evolución, y podrían descubrirse nuevas técnicas de aprovechamiento en general o técnicas exclusivas específicas para una vulnerabilidad o nuevas tendencias en las vulnerabilidades de seguridad detectadas de productos particulares que podrían cambiar la valoración de la gravedad del índice de explotabilidad. Sin embargo, el objetivo del índice de explotabilidad es ayudar a los clientes a priorizar dichas actualizaciones para la versión mensual más reciente. Por tanto, si hay información que podría cambiar una evaluación publicada en el primer mes de una versión de seguridad, Microsoft actualizará el índice de explotabilidad. En caso de que haya información disponible en los meses posteriores, después de que la mayoría de los clientes hayan tomado sus decisiones sobre la prioridad, el índice de explotabilidad no se actualizará, puesto que ya no será útil para el cliente. Cuando se corrige una valoración de la gravedad del índice de explotabilidad para reflejar un riesgo mayor para los clientes, la revisión de la actualización de seguridad se incrementa a un número de versión más alto (por ejemplo, de 1.0 a 2.0). Cuando el riesgo baja, la revisión de la actualización se incrementa a un número de versión menor (por ejemplo, de 1.0 a 1.1).

El índice de explotabilidad es independiente y no está relacionado con ningún otro sistema de valoración. Sin embargo, MSRC contribuye al sistema de valoración de la gravedad de las vulnerabilidades comunes (CVSS), y Microsoft comparte con el grupo de trabajo su experiencia y los comentarios de los clientes en relación con la creación y publicación del índice de explotabilidad, a fin de garantizar la eficacia y utilidad del CVSS.