Microsoft 为什么要开发可利用指数

Microsoft 应客户请求开发了可利用指数,提供进一步评估风险所需的额外信息。Microsoft 通过每月安全更新发布,为客户提供有关概念证明代码、漏洞利用代码或安全更新在发布时所解决的活动攻击的信息。

可利用指数的工作原理

Microsoft 将评估与 Microsoft 安全更新相关的严重性级别为重要或严重的每个漏洞的潜在可利用性,然后在每月 Microsoft 安全更新详细信息中发布可利用性信息。在发布详细信息后,如果 Microsoft 确定可利用指数评估有必要更改,将更改评估并通过技术安全通知的方式通知客户。如果发布了与现有可利用性信息匹配的漏洞利用代码,则我公司不会更新评估。

此可利用性信息包括:
  • 与特定漏洞关联的 CVE ID
  • 针对最新软件版本上的代码执行的可利用性评估
  • 针对旧软件版本上的代码执行的聚合可利用性评估
  • 对拒绝服务可能性的说明
我们将“最新软件版本”定义为安全更新详细信息中“受影响的产品”表中列出的最新的应用程序或平台版本。对于“旧软件版本”,最高评级适用于详细信息中“受影响的软件”表中所列版本以外所有其他受支持的版本。

例如,2017 年 3 月安全更新中修复的一个漏洞具有以下可利用性评估:
已公开披露 已被利用 最新软件版本 旧软件版本 拒绝服务
1 - 较有可能被利用 1 - 较有可能被利用 不适用
在多个产品系列受到影响的情况下,例如对于同时影响 Windows 和 Office 的漏洞,“最新软件版本”评级反映针对这两种产品的最高风险级别。在这种情况下,如果针对最新版本 Office 的可利用性评估为“1”,针对最新版本 Windows 的评估为“2”,则评级将反映为“1”。
在这两种情况下,根据 Microsoft 安全更新修复的漏洞,可利用指数使用以下四个值中的一个,告知客户该漏洞被利用的可能性。
可利用指数评估 简短定义
0 检测到被利用
更有可能被利用 *
2 不太可能被利用 **
3 不可能被利用 ***
0 - 检测到被利用
Microsoft 知道存在此漏洞被利用的实例。因此,如果客户已检查安全更新并确定其在环境中适用,应将其设为最高优先级。
1 - 较有可能被利用
Microsoft 分析表明,漏洞利用代码的创建方式使攻击者能够持续利用此漏洞。而且,Microsoft 知道过去有过此类漏洞被利用的实例。这会使其对攻击者而言很有吸引力,因此更有可能被利用。因此,如果客户已检查安全更新并确定其在环境中适用,应将其设为较高优先级。
2 - 不太可能被利用
Microsoft 分析表明,虽然可创建攻击代码,但攻击者可能难以创建代码,因为这需要专业技能和/或复杂的时间安排,并且/或者会针对受影响的产品产生不同的效果。而且,Microsoft 最近未发现外界有积极利用此类型漏洞的趋势。这使其对攻击者的吸引力较小。也就是说,如果客户已检查安全更新并确定其在环境中适用,仍应将其视为重要更新。如果要排列此类漏洞和其他高可利用性漏洞的优先顺序,可将此定为较低部署优先级。
3 - 几乎不可能被利用
Microsoft 分析表明,不可能在实际攻击中使用可成功运行的漏洞利用代码。这意味着,尽管可能有人发布可触发漏洞并导致异常行为的漏洞利用代码,但利用的总体影响将更加有限。而且,Microsoft 未发现过去有积极利用此类型漏洞的实例。所以,此漏洞被利用的实际风险显著偏低。因此,如果客户已检查安全更新并确定其在环境中适用,则可以将此更新的优先级设置在版本中其他漏洞之下。

DoS 可利用性评估可以反映以下两种情况之一:
DoS 可利用性评估 简短定义
临时 利用此漏洞可能导致操作系统或应用程序暂时停止响应直到攻击暂停,或导致操作系统或应用程序意外退出但自动恢复。在攻击完成后,目标会很快返回到正常的功能级别。
永久 利用此漏洞可能导致操作系统或应用程序一直无响应直到手动重启,或者导致操作系统或应用程序意外退出而不自动恢复。
如果漏洞允许永久拒绝服务,则要求管理员启动、重启或重新安装全部或部分系统。应注意的是,任何自动重启系统的漏洞也被视为永久 DoS。此外,通常用于交互式使用的客户端应用程序,如 Microsoft Office 发布,不会获得 DoS 可利用性评估。

重要术语和定义

漏洞利用代码 - 一种软件程序或示例代码,针对易受攻击的系统执行它时,它会医用该漏洞仿冒攻击者身份,篡改用户或系统信息,否认攻击者操作,在服务器端披露用户或系统信息,拒绝为有效用户提供服务,或提升攻击者的特权。例如,如果漏洞具有实现远程代码执行的安全影响,则针对目标系统运行漏洞利用代码时,可能可能导致执行远程代码。

触发漏洞 - 能够访问易受攻击的代码,但并不总能实现最大的影响。例如,可能很容易就能触发远程代码执行漏洞,但产生的结果可能只是拒绝服务。
|

Microsoft 可利用指数可提供额外信息,帮助客户设置每月安全更新部署的优先级。Microsoft 根据 Microsoft 安全更新解决的每个漏洞设计了此索引,以便为客户提供有关利用可能性的指导。

客户要求我们提供更多信息,以帮助其设置 Microsoft 每月安全更新的优先级,并明确要求我们详细说明安全更新所修复漏洞被利用的可能性。可利用指数提供有关在安全更新发布时漏洞被利用的实际风险的指导。

在构建漏洞评级时,Microsoft 可利用指数重点关注漏洞的两个方面:
  1. 当前的利用趋势,基于遥测数据及对于可在特定产品中利用特定类型漏洞的认知,
  2. 构建有效利用漏洞的成本和可靠性,基于对漏洞的技术分析。

虽然难以可靠预测安全生态系统内的活动,但此系统的作用体现在以下三点。
首先,在过去几年中,我们意识到,许多安全研究人员会在 Microsoft 安全更新发布时进行分析,以创建并评估保护。在此过程中,其中许多研究人员还会创建漏洞利用代码来进行测试。用于开发此漏洞利用代码的方法类似于 Microsoft 用于确定漏洞利用代码发布可能性的方法。Microsoft 会自行分析更新、漏洞的性质,以及成功执行利用所必须满足的条件。
其次,我们的安全更新修复的部分漏洞其实并未被利用。也许可以通过技术手段被高度可靠地利用某些漏洞,但实际上该漏洞从未被利用。我们会持续监视并跟踪利用活动,以便与当前趋势保持一致。这又会让我们了解一个漏洞何以比类似漏洞更具吸引力,使我们能够更准确地传达实际风险,而不是我们所修补的漏洞可能带来的风险。

最后,我们还会通过 Microsoft 主动防护计划 (MAPP) 与保护提供商进行合作,帮助完成每个月的预测验证,从而使用社区方法,通过信息共享确保更高的准确性。

安全更新严重性评级系统假定利用将会成功。对于可利用性较高的某些漏洞,此假设对于广泛的攻击者来说很可能是正确的。对于可利用性较低的其他漏洞,仅在专门的攻击者采用了大量资源来确保其攻击成功时,此假设才正确。无论严重性或可利用指数评级如何,Microsoft 始终建议客户部署所有适用的可用更新;然而,此评级信息可以帮助成熟的客户确定采用每月发布的优先级。

可利用指数不区分漏洞类型。它重点关注每个漏洞在其可能影响的整个范围内被利用的可能性。因此,无论是远程代码执行、篡改还是其他漏洞,任何漏洞都可能被定为任何可利用指数评级。

对漏洞被利用的可能性进行评级是一门不断发展的科学,发现新的一般利用技术,特定于某个漏洞的独特技术,或者已检测到的特定产品利用新趋势,都可能改变可利用指数评级。但是,可利用指数的目标是帮助客户确定最新每月发布的更新优先级。因此,如果某些信息会更改在安全发布的第一个月发布的评估,Microsoft 将更新可利用指数。在后续几个月,在大多数客户都已完成优先级决策后,即使我们获得了相关信息,也不会再更新可利用指数,因为它对客户而言已不再有用。如果可利用指数评级的校正反映出客户风险增加,则安全更新修订版本的主版本号递增,例如,从 1.0 到 2.0。风险变低时,更新修订版本的次版本号递增,例如,从 1.0 到 1.1。

可利用指数是独立的,与其他评级系统无关。但是,MSRC 是共同漏洞评分系统 (CVSS) 的重要成员,并且 Microsoft 与该工作组共享在构建和发布可利用指数方面的经验和客户反馈,帮助确保 CVSS 的有效性和可操作性。