Microsoft에서 악용 가능성 인덱스를 개발한 이유

Microsoft는 자세한 위험 평가를 위한 고객의 추가 정보 요청에 대한 응답으로 악용 가능성 인덱스를 개발했습니다. Microsoft는 월별 보안 업데이트 릴리스를 통해 고객에게 릴리스 당시의 개념 증명 코드, 익스플로잇 코드 또는 보안 업데이트에서 해결된 활성 공격에 대한 정보를 제공합니다.

Microsoft 악용 가능성 인덱스의 작동 방식

Microsoft는 Microsoft 보안 업데이트와 관련된 중요 또는 위험 심각도의 각 취약성에 대한 잠재적인 악용 가능성을 평가한 다음, 악용 가능성 정보를 월별 Microsoft 보안 업데이트 정보에 게시합니다. 세부 정보를 게시한 후 악용 가능성 인덱스 평가를 변경해야 한다고 판단되면, Microsoft는 평가를 변경하고 기술 보안 알림을 통해 고객에게 알립니다. 기존 악용 가능성 정보와 일치하는 익스플로잇 코드를 게시할 때는 평가를 업데이트하지 않습니다.

이 악용 가능성 정보에는 다음이 포함됩니다.
  • 특정 취약성과 관련된 CVE ID
  • 최신 소프트웨어 릴리스에서 코드 실행 시의 악용 가능성 평가
  • 이전 소프트웨어 릴리스에서 코드 실행 시의 집계 악용 가능성 평가
  • 서비스 거부 가능성에 대한 설명
“최신 소프트웨어 릴리스”는 보안 업데이트 정보의 “영향을 받는 제품” 표에 나열된 최신 버전의 애플리케이션 또는 플랫폼으로 정의됩니다. “이전 소프트웨어 릴리스”의 경우 세부 정보의 “영향을 받는 소프트웨어” 표에 나열된 최고 등급이 지원되는 다른 모든 릴리스에 적용됩니다.

예를 들어 2017년 3월 보안 업데이트에서 해결된 취약성의 악용 가능성 평가는 다음과 같습니다.
공개됨 악용됨 최신 소프트웨어 릴리스 이전 소프트웨어 릴리스 서비스 거부
아닙니다. 아닙니다. 1 – 악용 가능성 큼 1 – 악용 가능성 큼 해당 없음
Windows와 Office에 모두 영향을 주는 취약성과 같이 여러 제품 계열이 영향을 받는 시나리오에서 “최신 소프트웨어 릴리스” 등급은 두 제품의 최고 위험 수준을 반영합니다. 이 경우 최신 Office 버전에서 악용 가능성 평가가 “1”이고 최신 Windows 버전에서 “2”라면 등급에는 “1”이 반영됩니다.
두 경우 모두 악용 가능성 인덱스는 Microsoft 보안 업데이트에서 해결된 취약성을 기준으로 취약성의 악용 가능성을 고객에게 알리기 위해 네 가지 값 중 하나를 사용합니다.
악용 가능성 인덱스 평가 간단한 정의
0 악용 탐지됨
1 악용 가능성 큼 *
2 악용 가능성 작음 **
3 악용 가능성 없음 ***
0 – 악용 탐지됨
Microsoft에서 이 취약성이 악용되는 경우를 알고 있습니다. 따라서 보안 업데이트를 검토하고 해당 환경 내에서 적용 가능성을 확인한 고객은 이 취약성을 최고 우선 순위로 취급해야 합니다.
1 – 악용 가능성 큼
Microsoft 분석 결과, 공격자가 이 취약성을 일관성 있게 악용할 수 있는 방식으로 익스플로잇 코드를 만들 수 있습니다. 더욱이 Microsoft에서 이 취약성 유형이 이전에 악용된 경우를 알고 있습니다. 이 취약성은 공격자에게 매력적인 공격 대상이 되므로 익스플로잇을 만들 가능성이 큽니다. 따라서 보안 업데이트를 검토하고 해당 환경 내에서 적용 가능성을 확인한 고객은 이 취약성을 높은 우선 순위로 취급해야 합니다.
2 – 악용 가능성 작음
Microsoft 분석 결과, 익스플로잇 코드가 생성될 수는 있지만 공격자가 코드를 만드는 데 어려움이 있을 가능성이 크거나, 전문 지식 및/또는 정교한 타이밍이 필요하거나, 영향을 받는 제품을 대상으로 할 때 결과가 각기 다르게 나타납니다. 더욱이 이 취약성 유형이 최근에 활발하게 악용되고 있다는 추세가 관찰되지 않았습니다. 따라서 공격자에게 덜 매력적인 공격 대상이 됩니다. 하지만 보안 업데이트를 검토하고 해당 환경 내에서 적용 가능성을 확인한 고객은 여전히 이 취약성을 자료 업데이트로 취급해야 합니다. 악용 가능성이 큰 다른 취약성과 비교해서 우선 순위를 지정하는 경우 배포 우선 순위를 낮게 지정할 수 있습니다.
3 – 악용 가능성 없음
Microsoft 분석 결과, 성공적으로 작동하는 익스플로잇 코드를 실제 공격에서 활용할 가능성이 없습니다. 즉, 취약성을 트리거하고 비정상적인 동작이 발생하는 익스플로잇 코드가 릴리스될 수는 있지만, 악용의 전체 영향이 더 제한적입니다. 더욱이 이 취약성 유형이 이전에 활발하게 악용된 경우가 관찰되지 않았습니다. 이 취약성을 악용할 실제 위험이 훨씬 낮습니다. 따라서 보안 업데이트를 검토하고 해당 환경 내에서 적용 가능성을 확인한 고객은 이 업데이트의 우선 순위를 릴리스 내의 다른 취약성보다 낮게 지정할 수 있습니다.

DoS 악용 가능성 평가는 다음 중 하나를 반영할 수 있습니다.
DoS 악용 가능성 평가 간단한 정의
임시 이 취약성을 악용하면 운영 체제 또는 애플리케이션이 공격 중단 시까지 일시적으로 응답하지 않거나 예기치 않게 종료되지만 자동으로 복구될 수 있습니다. 공격이 완료되면 즉시 대상이 정상적인 기능 수준으로 돌아갑니다.
영구 이 취약성을 악용하면 운영 체제 또는 애플리케이션이 수동으로 다시 시작할 때까지 영구적으로 응답하지 않거나 예기치 않게 종료되고 자동으로 복구되지 않습니다.
취약성으로 인해 영구 서비스 거부가 발생할 수 있는 경우 관리자가 시스템 전체 또는 일부를 시작, 다시 시작 또는 다시 설치해야 합니다. 시스템을 자동으로 다시 시작하는 취약성도 영구 DoS로 간주됩니다. 또한 Microsoft Office 릴리스와 같이 일반적으로 대화형으로 사용되는 클라이언트 애플리케이션은 DoS 악용 가능성 평가를 받지 않습니다.

중요한 용어와 정의

익스플로잇 코드 – 취약한 시스템에 대해 실행할 경우 취약성을 사용하여 공격자 ID 스푸핑, 사용자 또는 시스템 정보 변조, 공격자 작업 부인, 서버 쪽에서 사용자 또는 시스템 정보 공개, 유효한 사용자에 대한 서비스 거부 또는 공격자의 권한 상승 등을 수행하는 소프트웨어 프로그램이나 샘플 코드입니다. 예를 들어 취약성이 원격 코드 실행의 보안에 영향을 주는 경우 대상 시스템에 대해 익스플로잇 코드를 실행할 때 원격 코드가 실행될 수 있습니다.

취약성 트리거 – 취약한 코드에 도달할 수 있지만 항상 최대 효과를 얻는 것은 아닙니다. 예를 들어 원격 코드 실행 취약성을 트리거하는 것은 쉽지만 서비스 거부 효과밖에 얻지 못할 수도 있습니다.
|

Microsoft 악용 가능성 인덱스는 고객이 월별 보안 업데이트 배포의 우선 순위를 지정하는 데 도움이 되는 추가 정보를 제공합니다. 이 지표는 Microsoft 보안 업데이트에서 해결된 각 취약성을 기준으로 악용 가능성과 관련된 지침을 고객에게 제공하도록 설계되었습니다.

고객이 월별 Microsoft 보안 업데이트 배포의 우선 순위를 지정하는 데 도움이 되는 추가 정보를 요청했습니다. 특히, 보안 업데이트에서 해결된 취약성의 악용 가능성에 대한 세부 정보를 요청했습니다. 악용 가능성 인덱스는 보안 업데이트 릴리스 당시의 실제 취약성 악용 위험에 대한 지침을 제공합니다.

Microsoft 악용 가능성 인덱스는 취약성의 다음 두 가지 측면을 중심으로 등급을 작성합니다.
  1. 특정 제품에 있는 특정 취약성 유형의 악용에 대한 인식 및 원격 분석 데이터를 기반으로 하는 현재 악용 추세
  2. 취약성에 대한 기술 분석을 기반으로 하는 작동하는 취약성 익스플로잇 빌드 비용 및 신뢰도

보안 에코시스템 내에서 활동을 확실하게 예측하는 것은 항상 어려운 일이지만, 이 시스템이 유용할 수밖에 없는 세 가지 이유가 있습니다.
첫째, 지난 몇 년간 Microsoft는 많은 보안 연구원이 Microsoft 보안 업데이트와 관련된 업데이트를 릴리스 당일에 분석하여 보호 기능을 만들고 평가한다는 것을 알게 되었습니다. 이 과정에서 업데이트 테스트를 위해 익스플로잇 코드도 만드는 연구원이 많습니다. 이 익스플로잇 코드를 개발하는 데 사용되는 방법은 Microsoft에서 익스플로잇 코드 릴리스 가능성을 확인하는 데 사용하는 방법과 비슷합니다. Microsoft는 업데이트 자체, 취약성의 특성, 익스플로잇을 성공적으로 실행하기 위해 충족해야 하는 조건을 분석합니다.
둘째, 보안 업데이트에서 해결된 취약성이 모두 악용되는 것은 아닙니다. 높은 수준의 신뢰도를 바탕으로 취약성을 기술적으로 악용할 수 있지만, 전혀 그러지 못할 수도 있습니다. Microsoft는 최신 추세를 파악하기 위해 악용 활동을 지속적으로 모니터링하고 추적합니다. 이 정보를 통해 유사한 취약성보다 더 매력적인 취약성을 구성하는 요소를 확인하고, 패치하는 취약성의 잠재적 위험이 아닌 실제 위험을 정확하게 전달할 수 있습니다.

마지막으로 Microsoft는 MAPP(Microsoft 액티브 보호 프로그램)를 통해 보호 서비스 공급 기업과 협력하여 월별로 예측 유효성을 검사함으로써, 커뮤니티 방법으로 정보를 공유하여 정확성을 높입니다.

보안 업데이트 심각도 등급 시스템은 악용이 성공한다고 가정합니다. 악용 가능성이 큰 일부 취약성의 경우 다양한 공격자에게 이 가정이 참일 가능성이 매우 큽니다. 악용 가능성이 작은 기타 취약성의 경우 이 가정은 전담 공격자가 공격 성공을 위해 많은 리소스를 투입하는 경우에만 참일 수 있습니다. 심각도 또는 악용 가능성 인덱스 등급과 관계없이 언제나 고객은 사용 가능한 해당 업데이트를 모두 배포하는 것이 좋습니다. 그러나 이 등급 정보는 정교한 고객이 월별 릴리스에 대한 접근 방식의 우선 순위를 정하는 데 도움이 될 수 있습니다.

악용 가능성 인덱스는 취약성 유형을 구별하지 않습니다. 전체 잠재적 영향 범위 내에서 각 취약성의 악용 가능성에 중점을 둡니다. 따라서 원격 코드 실행, 변조 또는 기타 유형이든 관계없이 모든 취약성을 악용 가능성 인덱스 임의 등급으로 평가할 수 있습니다.

취약성의 악용 가능성을 평가하는 기능은 계속 발전하고 있으며 일반적인 새 악용 기술, 취약성과 관련된 고유한 기술 또는 특정 제품에서 탐지된 새 익스플로잇 추세가 발견되어 악용 가능성 인덱스 등급이 변경될 수 있습니다. 그러나 악용 가능성 인덱스의 목표는 고객이 최신 월별 릴리스를 기준으로 이러한 업데이트의 우선 순위를 지정하는 데 도움을 주는 것입니다. 따라서 보안 릴리스의 첫 달에 릴리스된 평가를 변경하는 정보가 있을 경우 Microsoft에서 악용 가능성 인덱스를 업데이트합니다. 이후 몇 달간 정보가 제공되고 대부분의 고객이 우선 순위 결정을 내린 후에는 악용 가능성 인덱스가 더 이상 고객에게 유용하지 않으므로 업데이트되지 않습니다. 고객 위험 증가를 반영하는 방식으로 악용 가능성 인덱스 등급을 수정하면 보안 업데이트 수정 버전의 주 버전 번호가 증가합니다(예: 1.0에서 2.0으로 증가). 위험을 하향 조정하면 업데이트 수정 버전의 부 버전 번호가 증가합니다(예: 1.0에서 1.1로 증가).

악용 가능성 인덱스는 별개이며 다른 등급 시스템과 관련이 없습니다. 그러나 MSRC는 CVSS(Common Vulnerability Scoring System)에 영향을 주는 멤버이므로, Microsoft는 효과적이고 실행 가능한 CVSS를 만들 수 있도록 악용 가능성 인덱스 작성 및 릴리스 경험과 고객 피드백을 작업 그룹과 공유합니다.