Index d’exploitabilité Microsoft
L’index d’exploitabilité Microsoft aide les clients à hiérarchiser le déploiement des mises à jour de sécurité en fournissant des informations sur la probabilité qu’une vulnérabilité corrigée dans une mise à jour de sécurité Microsoft soit exploitée.
Pourquoi Microsoft a-t-il développé l’index d’exploitabilité ?
Fonctionnement de l’index d’exploitabilité
- ID CVE associé à la vulnérabilité spécifique
- Évaluation d'exploitabilité pour l'exécution de code sur la dernière version du logiciel
- Évaluation d’exploitabilité de l’agrégat pour l’exécution de code sur les anciennes versions du logiciel
- Description du potentiel en matière de déni de service
Divulgué publiquement | Exploité | Dernière version du logiciel | Version(s) plus ancienne(s) du logiciel | Déni de service |
---|---|---|---|---|
Non | Non | 1 - Exploitation plus probable | 1 - Exploitation plus probable | Non applicable |
Évaluation de l’index d’exploitabilité | Définition courte |
---|---|
0 | Exploitation détectée |
1 | Exploitation plus probable * |
2 | Exploitation moins probable ** |
3 | Exploitation improbable *** |
0 – Exploitation détectée
1 : Exploitation plus probable
2 – Exploitation moins probable
3 - Exploitation peu probable
Évaluation de l'exploitabilité par déni de service | Définition courte |
---|---|
Stockage | L’exploitation de cette vulnérabilité peut entraîner une absence de réponse du système d’exploitation ou de l’application, jusqu’à ce que l’attaque soit interrompue, voire une fermeture inattendue, mais avec récupération automatique. La cible retrouve son niveau de fonctionnalité normal peu de temps après l'attaque. |
Permanent | L’exploitation de cette vulnérabilité peut entraîner une absence de réponse du système d’exploitation ou de l’application nécessitant son redémarrage manuel, voire une fermeture inattendue, sans récupération automatique. |
Termes et définitions clés
L’index d’exploitabilité Microsoft fournit des informations supplémentaires pour aider les clients à hiérarchiser le déploiement des mises à jour de sécurité mensuelles. Microsoft a conçu cet index pour proposer aux clients des conseils sur la probabilité d’exploitation, en fonction de chaque vulnérabilité traitée par les mises à jour de sécurité Microsoft.
Les clients ont sollicité plus d’informations pour faciliter le déploiement des mises à jour de sécurité Microsoft chaque mois, notamment des détails sur la probabilité d’exploitation des vulnérabilités traitées dans les mises à jour de sécurité. L’index d’exploitabilité fournit des conseils sur le risque réel d’exploitation d’une vulnérabilité au moment de la publication de la mise à jour de sécurité.
- Les tendances actuelles en matière d’exploitation, basées sur les données de télémétrie et la sensibilisation à l’exploitation d’un type donné de vulnérabilité dans un produit donné.
- Le coût et la fiabilité en termes d'exploitation de la vulnérabilité, en fonction de l'analyse technique de celle-ci.
Le système d’évaluation de la gravité des mises à jour de sécurité suppose que l’exploitation aboutisse. Pour certaines vulnérabilités à exploitabilité élevée, cette hypothèse tend à se vérifier pour un grand nombre d'attaquants. Pour les autres vulnérabilités à exploitabilité faible, cette hypothèse tend uniquement à se vérifier lorsqu’un attaquant dédié utilise un grand nombre de ressources pour mener à bien son attaque. Quelle que soit l'évaluation de l'index de gravité ou d'exploitabilité, Microsoft recommande systématiquement aux clients de déployer toutes les mises à jour applicables et disponibles. Cela étant, ces informations d’évaluation peuvent aider les clients expérimentés à hiérarchiser leur approche en matière de mise à jour mensuelle.
L’index d’exploitabilité ne différencie pas les types de vulnérabilités. Il se concentre sur la probabilité d’exploitation de chaque vulnérabilité en termes de portée de potentiel d'impact. Ainsi, toutes les vulnérabilités, exécution de code à distance ou falsification, par exemple, peuvent être évaluées pour l’ensemble des index d’exploitabilité.
La capacité à évaluer l’exploitation potentielle de vulnérabilités est une science en pleine évolution. De nouvelles techniques d’exploitation générales ou spécifiques à une vulnérabilité, ou de nouvelles tendances en matière de détection d'exploits de produits peuvent être découverts et modifier l'évaluation de l'index d’exploitabilité. Toutefois, l’objectif de l’index d’exploitabilité consiste à aider les clients à hiérarchiser ces mises à jour pour la version mensuelle la plus récente. Ainsi, en présence d'informations susceptibles de modifier une évaluation publiée au cours du premier mois d’une version de sécurité, Microsoft met à jour l’index d’exploitabilité. En cas de nouvelles informations au cours des mois suivants, après que les clients aient pris des décisions en matière de hiérarchisation, l’index d’exploitabilité n’est pas mis à jour, car il ne présente plus d'intérêt pour ces clients. Lorsque l'évaluation de l’index d’exploitabilité est corrigée de manière à refléter un risque accru pour les clients, la révision de la mise à jour de sécurité est incrémentée à un numéro de version majeure (par exemple, de 1.0 à 2.0). Lorsque le risque est ajusté vers le bas, la révision de la mise à jour est incrémentée à un numéro de version mineure (par exemple, de 1.0 à 1.1).
L’index d’exploitabilité est différent et n'est pas lié aux autres systèmes d’évaluation. Toutefois, le MSRC contribue au système CVSS (Common Vulnerability Score System), et Microsoft partage son expérience et les commentaires de ses clients à des fins de création et de publication de l'index d’exploitabilité avec le groupe de travail afin de garantir l'efficacité du système CVSS.