Pourquoi Microsoft a-t-il développé l’index d’exploitabilité ?

Microsoft a développé l’index d’exploitabilité en réponse aux sollicitations des clients concernant des informations supplémentaires visant à évaluer de manière plus approfondie les risques. Grâce à la version de mise à jour de sécurité mensuelle de Microsoft, l’entreprise fournit aux clients des informations sur le code de preuve de concept, le code d’exploitation ou les attaques actives traitées par nos mises à jour de sécurité, au moment de leur publication.

Fonctionnement de l’index d’exploitabilité

Microsoft évalue l’exploitabilité potentielle de chaque vulnérabilité présentant une gravité importante ou critique associée à une mise à jour de sécurité Microsoft, puis publie les informations d’exploitabilité dans le cadre des détails de mise à jour de sécurité mensuelle Microsoft. Si, après la publication des détails, Microsoft estime que l’évaluation de l’indice d’exploitabilité justifie une modification, l'évaluation sera modifiée et des notifications de sécurités techniques seront envoyées aux clients. L'entreprise ne met pas à jour l'évaluation en cas de publication d'un code d'exploitation correspondant aux informations d’exploitabilité existantes.

Ces informations d’exploitabilité incluent :
  • ID CVE associé à la vulnérabilité spécifique
  • Évaluation d'exploitabilité pour l'exécution de code sur la dernière version du logiciel
  • Évaluation d’exploitabilité de l’agrégat pour l’exécution de code sur les anciennes versions du logiciel
  • Description du potentiel en matière de déni de service
Nous définissons la « dernière version du logiciel » en tant que version la plus récente de l’application ou de la plateforme figurant dans le tableau « Produits concernés », et plus précisément dans les détails de la mise à jour de sécurité. Pour les plus anciennes versions du logiciel, l’évaluation la plus élevée concerne toutes les autres versions prises en charge, comme indiqué dans les tableaux « Logiciels concernés », et plus précisément dans les détails.

Par exemple, une vulnérabilité traitée lors d'une mise à jour de sécurité de mars 2017 présente l’évaluation d’exploitabilité suivante :
Divulgué publiquement Exploité Dernière version du logiciel Version(s) plus ancienne(s) du logiciel Déni de service
Non Non 1 - Exploitation plus probable 1 - Exploitation plus probable Non applicable
Si plusieurs séries de produits sont concernées (vulnérabilité concernant Windows et Office, par exemple), l'évaluation de la dernière version du logiciel reflète le niveau de risque le plus élevé pour les deux produits. Dans ce cas, si l’évaluation d’exploitabilité ayant trait à la dernière version d’Office est « 1 » et « 2 » pour la dernière version de Windows, l’évaluation reflète « 1 ».
Dans les deux cas, l’index d’exploitabilité utilise l’une des quatre valeurs pour communiquer aux clients la probabilité qu’une vulnérabilité soit exploitée, en fonction des vulnérabilités résolues par la mise à jour de sécurité Microsoft.
Évaluation de l’index d’exploitabilité Définition courte
0 Exploitation détectée
1 Exploitation plus probable *
2 Exploitation moins probable **
3 Exploitation improbable ***
0 – Exploitation détectée
Microsoft est conscient qu’une instance de cette vulnérabilité est exploitée. Dès lors, les clients ayant examiné la mise à jour de sécurité et déterminé son applicabilité dans leur environnement doivent la traiter avec la priorité la plus élevée.
1 : Exploitation plus probable
L'analyse Microsoft a montré que le code d’exploitation pouvait être créé de façon à permettre à un attaquant d'exploiter cette vulnérabilité. En outre, Microsoft est conscient de précédentes exploitations de ce type de vulnérabilité. Cela constitue une cible attrayante pour les attaquants et, dès lors, son exploitation est plus probable. Dès lors, les clients ayant examiné la mise à jour de sécurité et déterminé son applicabilité dans leur environnement doivent la traiter avec une priorité plus élevée.
2 – Exploitation moins probable
L’analyse Microsoft a montré que si un code d’exploitation pouvait être créé, une personne malveillante aurait probablement des difficultés à créer ce code, car cela impliquerait une expertise et/ou un timing sophistiqué, et/ou des résultats variés en cas de ciblage du produit concerné. En outre, Microsoft n’a pas récemment observé de tendance à exploiter de manière active ce type de vulnérabilité. Cela en fait une cible moins attrayante pour les attaquants. Cela, les clients ayant examiné la mise à jour de sécurité et déterminé son applicabilité dans leur environnement doivent la traiter en tant que mise à jour matérielle. En cas de hiérarchisation des vulnérabilités exploitables, ils peuvent la classer à un niveau inférieur dans leur priorité de déploiement.
3 - Exploitation peu probable
L’analyse Microsoft indique que le code d’exploitation opérationnel est peu susceptible d’être utilisé lors d'attaques réelles. Ainsi, s'il est possible que le code d’exploitation publié déclenche la vulnérabilité et entraîne un comportement anormal, l’impact total de l’exploitation sera plus limité. En outre, Microsoft n’a pas récemment observé de tendance à exploiter de manière active ce type de vulnérabilité. Dès lors, le risque réel d'exploitation de cette vulnérabilité est considérablement réduit. Par conséquent, les clients ayant examiné la mise à jour de sécurité et déterminé son applicabilité dans leur environnement peuvent hiérarchiser cette mise à jour à un niveau inférieur aux autres vulnérabilités d'une version.

L’évaluation d’exploitabilité par déni de service peut refléter l’un des éléments suivants :
Évaluation de l'exploitabilité par déni de service Définition courte
Stockage L’exploitation de cette vulnérabilité peut entraîner une absence de réponse du système d’exploitation ou de l’application, jusqu’à ce que l’attaque soit interrompue, voire une fermeture inattendue, mais avec récupération automatique. La cible retrouve son niveau de fonctionnalité normal peu de temps après l'attaque.
Permanent L’exploitation de cette vulnérabilité peut entraîner une absence de réponse du système d’exploitation ou de l’application nécessitant son redémarrage manuel, voire une fermeture inattendue, sans récupération automatique.
Si une vulnérabilité peut permettre un déni de service permanent , il est impératif qu'un administrateur démarre, redémarre ou réinstalle tout ou partie du système. Notez que toute vulnérabilité qui redémarre automatiquement le système est aussi considérée comme déni de service permanent. En outre, les applications clientes généralement destinées à une utilisation interactive, telles que les versions de Microsoft Office, ne bénéficient pas d’une évaluation d'exploitabilité par déni de service.

Termes et définitions clés

Code d'exploitation - Programme logiciel ou exemple de code qui, lorsqu'il est exécuté sur un système vulnérable, utilise cette vulnérabilité pour usurper l'identité de l'attaquant, altérer les informations utilisateur ou système, répudier l'action de l'attaquant, divulguer des informations utilisateur ou système côté serveur, refuser un service aux utilisateurs valides ou élever les privilèges de l'attaquant. Par exemple, si une vulnérabilité a une incidence sur l'exécution du code à distance, le code d'exploitation peut provoquer l'exécution du code à distance lors de son exécution sur un système cible.

Déclencher une vulnérabilité - Capacité à atteindre le code vulnérable, sans toutefois s'accompagner d'un impact maximal. Par exemple, il peut être facile de déclencher une vulnérabilité à l'exécution de code distant, mais il peut en résulter un déni de service.
|

L’index d’exploitabilité Microsoft fournit des informations supplémentaires pour aider les clients à hiérarchiser le déploiement des mises à jour de sécurité mensuelles. Microsoft a conçu cet index pour proposer aux clients des conseils sur la probabilité d’exploitation, en fonction de chaque vulnérabilité traitée par les mises à jour de sécurité Microsoft.

Les clients ont sollicité plus d’informations pour faciliter le déploiement des mises à jour de sécurité Microsoft chaque mois, notamment des détails sur la probabilité d’exploitation des vulnérabilités traitées dans les mises à jour de sécurité. L’index d’exploitabilité fournit des conseils sur le risque réel d’exploitation d’une vulnérabilité au moment de la publication de la mise à jour de sécurité.

L’index d’exploitabilité Microsoft se concentre sur deux aspects d’une vulnérabilité à des fins d'évaluation :
  1. Les tendances actuelles en matière d’exploitation, basées sur les données de télémétrie et la sensibilisation à l’exploitation d’un type donné de vulnérabilité dans un produit donné.
  2. Le coût et la fiabilité en termes d'exploitation de la vulnérabilité, en fonction de l'analyse technique de celle-ci.

Bien qu'il soit difficile de prédire de manière fiable l'activité au sein de l’écosystème de sécurité, ce système est utile pour trois raisons.
Premièrement, ces dernières années, nous avons remarqué que de nombreux chercheurs en sécurité analysent les mises à jour associées aux mises à jour de sécurité Microsoft le jour de leur publication afin de créer et d'évaluer les protections. Ce faisant, bon nombre de ces chercheurs créent également un code d’exploitation à des fins de test. La méthodologie utilisée pour développer ce code d’exploitation s'apparente à celle utilisée par Microsoft pour déterminer la probabilité d'utilisation du code d'exploitation. Microsoft analyse les mises à jour elles-mêmes, la nature de la vulnérabilité, ainsi que les conditions à remplir pour qu'un « exploit » puisse s'exécuter correctement.
Deuxièmement, toutes les vulnérabilités résolues par nos mises à jour de sécurité ne sont pas exploitées. Une vulnérabilité peut être techniquement exploitable avec un haut niveau de fiabilité, sans être jamais exploitée. Nous surveillons et suivons en permanence les activités d’exploitation pour nous tenir au courant des tendances actuelles. C'est ainsi que nous déterminons ce qui constitue une vulnérabilité plus attrayante par rapport à des vulnérabilités similaires, et pouvons communiquer plus précisément un risque réel, plutôt qu'un risque potentiel parmi les vulnérabilités que nous corrigeons.

Enfin, nous travaillons également en partenariat avec les fournisseurs de protection via le programme MAPP (Microsoft Active Protections Program), afin de les aider à valider mensuellement nos prédictions, en utilisant ainsi une approche communautaire pour améliorer la précision via le partage d'informations.

Le système d’évaluation de la gravité des mises à jour de sécurité suppose que l’exploitation aboutisse. Pour certaines vulnérabilités à exploitabilité élevée, cette hypothèse tend à se vérifier pour un grand nombre d'attaquants. Pour les autres vulnérabilités à exploitabilité faible, cette hypothèse tend uniquement à se vérifier lorsqu’un attaquant dédié utilise un grand nombre de ressources pour mener à bien son attaque. Quelle que soit l'évaluation de l'index de gravité ou d'exploitabilité, Microsoft recommande systématiquement aux clients de déployer toutes les mises à jour applicables et disponibles. Cela étant, ces informations d’évaluation peuvent aider les clients expérimentés à hiérarchiser leur approche en matière de mise à jour mensuelle.

L’index d’exploitabilité ne différencie pas les types de vulnérabilités. Il se concentre sur la probabilité d’exploitation de chaque vulnérabilité en termes de portée de potentiel d'impact. Ainsi, toutes les vulnérabilités, exécution de code à distance ou falsification, par exemple, peuvent être évaluées pour l’ensemble des index d’exploitabilité.

La capacité à évaluer l’exploitation potentielle de vulnérabilités est une science en pleine évolution. De nouvelles techniques d’exploitation générales ou spécifiques à une vulnérabilité, ou de nouvelles tendances en matière de détection d'exploits de produits peuvent être découverts et modifier l'évaluation de l'index d’exploitabilité. Toutefois, l’objectif de l’index d’exploitabilité consiste à aider les clients à hiérarchiser ces mises à jour pour la version mensuelle la plus récente. Ainsi, en présence d'informations susceptibles de modifier une évaluation publiée au cours du premier mois d’une version de sécurité, Microsoft met à jour l’index d’exploitabilité. En cas de nouvelles informations au cours des mois suivants, après que les clients aient pris des décisions en matière de hiérarchisation, l’index d’exploitabilité n’est pas mis à jour, car il ne présente plus d'intérêt pour ces clients. Lorsque l'évaluation de l’index d’exploitabilité est corrigée de manière à refléter un risque accru pour les clients, la révision de la mise à jour de sécurité est incrémentée à un numéro de version majeure (par exemple, de 1.0 à 2.0). Lorsque le risque est ajusté vers le bas, la révision de la mise à jour est incrémentée à un numéro de version mineure (par exemple, de 1.0 à 1.1).

L’index d’exploitabilité est différent et n'est pas lié aux autres systèmes d’évaluation. Toutefois, le MSRC contribue au système CVSS (Common Vulnerability Score System), et Microsoft partage son expérience et les commentaires de ses clients à des fins de création et de publication de l'index d’exploitabilité avec le groupe de travail afin de garantir l'efficacité du système CVSS.