Por que a Microsoft desenvolveu o índice de probabilidade de exploração?

A Microsoft desenvolveu o índice de probabilidade de exploração em resposta a solicitações de clientes que gostariam de obter informações adicionais para avaliar os riscos com mais detalhes. Com o lançamento da atualização de segurança mensal da Microsoft, a empresa fornece aos clientes informações sobre código de prova de conceito, código de exploração ou ataques ativos tratados por nossas atualizações de segurança no momento do lançamento.

Como o índice de probabilidade de exploração funciona?

A Microsoft avalia o grau de exploração potencial de cada vulnerabilidade com severidade importante ou crítica associada a uma atualização de segurança da Microsoft e, em seguida, publica essas informações como parte dos detalhes mensais da atualização de segurança. Se, depois de publicar os detalhes, a Microsoft determinar que a avaliação do índice de probabilidade de exploração precisa ser alterada, ela alterará a avaliação e notificará os clientes por meio de notificações de segurança técnica. A empresa não atualizará a avaliação quando forem lançados códigos de exploração correspondentes às informações de exploração já fornecidas.

Essas informações de exploração incluem:
  • A ID do CVE associado à vulnerabilidade específica
  • A avaliação da probabilidade de exploração para a execução do código na versão mais recente do software
  • A avaliação da probabilidade de exploração agregada para a execução do código em versões mais antigas do software
  • Uma descrição do potencial para negação de serviço
Definimos a "versão mais recente do software" como a versão mais recente do aplicativo ou da plataforma listada na tabela "Produtos Afetados" nos detalhes da atualização de segurança. Para "versões de software mais antigas", a classificação mais alta refere-se a todas as outras versões compatíveis, conforme listado nas tabelas de "Software Afetado" nos detalhes.

Por exemplo, uma vulnerabilidade abordada em uma atualização de segurança de março de 2017 tem a seguinte avaliação de probabilidade de exploração:
Divulgado publicamente Explorado Versão de software mais recente Versões de software mais antigas Negação de serviço
Não Não 1 – Exploração mais provável 1 – Exploração mais provável Não aplicável
Nos cenários em que várias séries de produtos são afetadas, por exemplo, uma vulnerabilidade que afeta o Windows e o Office, a classificação de "versão mais recente do software" reflete o nível de risco mais alto em ambos os produtos. Nesse caso, se a avaliação de probabilidade de exploração na versão mais recente do Office for "1" e, na versão mais recente do Windows, for "2", a classificação refletirá "1".
Nos dois casos, o índice de probabilidade de exploração usa um de quatro valores para comunicar aos clientes a probabilidade de uma vulnerabilidade ser explorada, com base nas vulnerabilidades tratadas pela atualização de segurança da Microsoft.
Avaliação do índice de probabilidade de exploração Definição resumida
0 Exploração detectada
1 Exploração mais provável *
2 Exploração menos provável**
3 Exploração improvável***
0 – Exploração detectada
A Microsoft tem conhecimento de que uma instância dessa vulnerabilidade está sendo explorada. Assim, os clientes que examinaram a atualização de segurança e determinaram sua aplicabilidade em seu ambiente devem tratá-la com a prioridade mais alta.
1 – Exploração mais provável
A análise da Microsoft mostrou que um código de exploração poderia ser criado de forma que um invasor poderia explorar essa vulnerabilidade consistentemente. Além disso, a Microsoft está ciente de casos anteriores de exploração desse tipo de vulnerabilidade. Isso constituiria um alvo atraente para os invasores e, portanto, seria mais provável que explorações pudessem ser criadas. Assim, os clientes que examinaram a atualização de segurança e determinaram sua aplicabilidade em seu ambiente devem tratá-la com uma prioridade mais alta.
2 – Exploração menos provável
A análise da Microsoft mostrou que, embora um código de exploração pudesse ser criado, um invasor provavelmente teria dificuldade para criá-lo, pois ele exigiria conhecimento e/ou um controle de tempo sofisticado e/ou os resultados seriam variados ao ter o produto afetado como alvo. Além disso, a Microsoft não observou recentemente uma tendência desse tipo de vulnerabilidade ser explorado de forma ativa. Isso faz dela um alvo menos atraente para os invasores. Assim, os clientes que examinaram a atualização de segurança e determinaram sua aplicabilidade em seu ambiente ainda devem tratá-la com uma atualização material. Se estiverem definindo prioridades com relação a outras vulnerabilidades altamente exploráveis, eles poderão classificar essa com um grau menor de prioridade de implantação.
3 – Exploração improvável
A análise da Microsoft mostra que é improvável que o código de exploração que está funcionando com êxito seja utilizado em ataques reais. Isso significa que, embora seja possível o lançamento de um código de exploração que poderia disparar a vulnerabilidade e causar um comportamento anormal, o impacto total da exploração seria mais limitado. Além disso, a Microsoft não observou casos em que esse tipo de vulnerabilidade tenha sido explorado de forma ativa. Sendo assim, o risco real de exploração dessa vulnerabilidade é significativamente menor. Portanto, os clientes que examinaram a atualização de segurança para determinar sua aplicabilidade em seu ambiente podem priorizar essa atualização abaixo de outras vulnerabilidades em uma versão.

A avaliação de probabilidade de exploração do DoS pode refletir uma das seguintes características:
Avaliação de probabilidade de exploração de DoS Definição resumida
Armazenamento A exploração dessa vulnerabilidade pode fazer com que o sistema operacional ou o aplicativo fique sem resposta temporariamente, até que o ataque seja interrompido ou seja encerrado de forma inesperada, mas se recupere automaticamente. O alvo retorna ao nível normal de funcionalidade logo após a conclusão do ataque.
Permanente A exploração dessa vulnerabilidade pode fazer com que o sistema operacional ou o aplicativo fique sem resposta permanentemente, até que seja reiniciado de modo manual ou que seja encerrado de forma inesperada sem recuperação automática.
Se uma vulnerabilidade puder permitir uma negação de serviço permanente, ela exigirá que um administrador inicie, reinicie ou reinstale todo o sistema ou partes dele. Deve-se observar que qualquer vulnerabilidade que reinicia o sistema automaticamente também é considerada um DoS permanente. Além disso, aplicativos cliente que normalmente se destinam a uso interativo, como versões do Microsoft Office, não terão uma avaliação de probabilidade de exploração do DoS.

Termos e definições importantes

Código de exploração – um programa de software ou código de exemplo que, quando executado em um sistema vulnerável, usa a vulnerabilidade para falsificar a identidade do invasor, adulterar informações do usuário ou do sistema, repudiar ações do invasor, divulgar informações do usuário ou do sistema no servidor, negar serviço a usuários válidos ou elevar privilégios do invasor. Por exemplo, se uma vulnerabilidade tivesse um impacto de segurança de execução de código remota, o código de exploração poderia causar a execução remota de código quando executado em um sistema de destino.

Disparar uma vulnerabilidade – a capacidade de atingir o código vulnerável, mas nem sempre alcançar o impacto máximo. Por exemplo, pode ser fácil disparar uma vulnerabilidade de execução remota de código, mas o efeito resultante pode ser apenas uma negação de serviço.
|

O índice de probabilidade de exploração da Microsoft fornece informações adicionais para ajudar os clientes a priorizar a implantação das atualizações de segurança mensais. A Microsoft criou esse índice para fornecer aos clientes orientações sobre a probabilidade de sofrer explorações, com base em cada vulnerabilidade abordada pelas atualizações de segurança da Microsoft.

Os clientes solicitaram mais informações para ajudá-los a priorizar a implantação das atualizações de segurança da Microsoft a cada mês, solicitando especificamente detalhes sobre a probabilidade de haver uma exploração das vulnerabilidades abordadas pelas atualizações de segurança. O índice de probabilidade de exploração fornece orientações sobre o risco real de exploração de uma vulnerabilidade no momento da versão da atualização de segurança.

O índice de probabilidade de exploração da Microsoft se concentra em dois aspectos de uma vulnerabilidade para compor suas classificações:
  1. Tendências atuais de exploração, com base em dados telemétricos e em conhecimentos sobre a exploração de um tipo específico de vulnerabilidade em um determinado produto.
  2. O custo e a confiabilidade da criação de uma exploração em funcionamento para a vulnerabilidade, com base em uma análise técnica da vulnerabilidade.

Embora prever de forma confiável atividades no ecossistema de segurança seja sempre difícil, há três motivos pelos quais esse sistema deve ser útil.
Em primeiro lugar, nos últimos anos, percebemos que muitos pesquisadores de segurança analisam as atualizações associadas às atualizações de segurança da Microsoft no dia em que elas são lançadas para criar e avaliar proteções. Ao fazer isso, muitos desses pesquisadores também criam código de exploração para testá-las. A metodologia usada para desenvolver esse código de exploração é como a que a Microsoft usa para determinar a probabilidade da liberação dos códigos de exploração. A Microsoft analisa as próprias atualizações, a natureza da vulnerabilidade e as condições que precisam ser atendidas para que uma exploração seja executada com êxito.
Em segundo lugar, nem todas as vulnerabilidades resolvidas por nossas atualizações de segurança são exploradas. Uma vulnerabilidade pode ser tecnicamente explorável com um alto grau de confiabilidade, mas pode nunca ser explorada. Monitoramos e controlamos continuamente as atividades de exploração para permanecermos atualizados em relação às tendências atuais. Isso, por sua vez, nos mostra o que torna uma vulnerabilidade mais atraente em comparação com vulnerabilidades semelhantes e nos permite comunicar com mais precisão o risco real, em vez de um potencial, das vulnerabilidades que corrigimos.

Por fim, também estamos estabelecendo parcerias com provedores de proteção por meio do MAPP (Microsoft Active Protections Program), trabalhando com eles para ajudar a validar nossas previsões a cada mês – usando, assim, uma abordagem de comunidade para garantir uma maior precisão por meio do compartilhamento de informações.

O Sistema de Classificação de Severidade da Atualização de Segurança pressupõe que a exploração será bem-sucedida. Para algumas vulnerabilidades em que as possibilidades de exploração são altas, é muito provável que essa suposição seja verdadeira para um amplo conjunto de invasores. Para outras vulnerabilidades em que as possibilidades de exploração são baixas, essa suposição só poderá ser verdadeira se um invasor dedicado usar muitos recursos para garantir que seu ataque seja bem-sucedido. Independentemente da classificação no índice de probabilidade de exploração ou de severidade, a Microsoft sempre recomenda que os clientes implantem todas as atualizações aplicáveis e disponíveis. No entanto, essas informações de classificação podem ajudar clientes sofisticados a priorizar sua abordagem para a liberação de cada mês.

O índice de probabilidade de exploração não distingue tipos de vulnerabilidade. Ele se concentra na probabilidade de exploração de cada vulnerabilidade dentro do intervalo de todo o seu potencial de impacto. Assim, uma vulnerabilidade, seja ela de execução de código remota, adulteração ou outra, pode receber qualquer uma das classificações do índice de probabilidade de exploração.

A capacidade de classificar a possível exploração de vulnerabilidades é uma ciência em evolução e novas técnicas de exploração em geral ou técnicas exclusivas específicas a uma vulnerabilidade ou ainda novas tendências relacionadas a explorações já detectadas de produtos específicos, podem ser descobertas, o que pode alterar a classificação no índice de probabilidade de exploração. No entanto, a meta do índice de probabilidade de exploração é ajudar os clientes a priorizar essas atualizações na versão mensal mais recente. Portanto, se houver informações que alterariam uma avaliação lançada no primeiro mês de uma versão de segurança, a Microsoft atualizará o índice de probabilidade de exploração. Se as informações ficarem disponíveis nos meses posteriores, após a maioria dos clientes ter tomado suas decisões de priorização, o índice de probabilidade de exploração não será atualizado, pois terá deixado de ser útil para o cliente. Quando uma classificação do índice de probabilidade de exploração é corrigida de forma a refletir um risco mais alto aos clientes, a revisão da atualização de segurança é incrementada em um número de versão principal (por exemplo, de 1.0 para 2.0). Quando o risco é ajustado para baixo, a revisão da atualização é incrementada em um número de versão secundária (por exemplo, de 1.0 para 1.1).

O índice de probabilidade de exploração é separado e não está relacionado a outros sistemas de classificação. No entanto, o MSRC é membro colaborador do CVSS (Sistema de Classificação de Vulnerabilidades Comuns), e a Microsoft compartilha sua experiência e comentários dos clientes relacionados à criação e ao lançamento do índice de probabilidade de exploração com o grupo de trabalho para ajudar a garantir que o CVSS seja eficaz e acionável.