Microsoft 為何要開發惡意探索指數

Microsoft 開發惡意探索指數是為了回應客戶為取得額外資訊以進一步評估風險的要求。透過 Microsoft 的每月安全性更新版本,公司為客戶提供概念證明程式碼、惡意探索程式碼或安全性更新發行時所解決主動式攻擊的相關資訊。

惡意探索指數的運作方式

Microsoft 會評估與 Microsoft 安全性更新建立關聯且嚴重性為「重要」或「嚴重」的每個弱點入侵可能性,然後在每月 Microsoft 安全性更新詳細資料中發佈惡意探索資訊。如果在發佈詳細資料之後,Microsoft 判斷惡意探索指數評定需要變更,則會變更評定,並透過技術安全性通知來通知客戶。當公布的惡意探索程式碼符合現有的惡意探索資訊時,公司將不會更新評定。

此惡意探索資訊包括:
  • 與特定弱點建立關聯的 CVE 識別碼
  • 最新軟體版本上程式碼執行的惡意探索評定
  • 舊版軟體版本上程式碼執行的彙總惡意探索評定
  • 拒絕服務的可能性描述
我們將「最新軟體版本」定義為安全性更新詳細資料中「受影響的產品」表格所列最新版應用程式或平台。至於「舊版軟體版本」,最高分級與所有其他支援的版本有關,如詳細資料中「受影響的軟體」表格所列。

例如,2017 年 3 月安全性更新所解決的一個弱點具有下列惡意探索評定:
遭到公開洩漏 遭到惡意探索 最新軟體版本 舊版軟體版本 拒絕服務
1 - 惡意探索的可能性較高 1 - 惡意探索的可能性較高 不適用
在多個產品系列受到影響的情況下 (例如同時影響 Windows 和 Office 的弱點),「最新軟體版本」分級會反映這兩個產品的最高風險層級。在此情況下,如果最新版 Office 的惡意探索評定為「1」,而最新版 Windows 的惡意探索評定為「2」,則分級會反映「1」。
在這兩種情況下,惡意探索指數會根據 Microsoft 安全性更新所解決的弱點,使用四個值的其中一個向客戶傳達弱點遭到惡意探索可能性。
惡意探索指數評定 簡短定義
0 偵測到惡意探索
1 惡意探索的可能性較高 *
2 惡意探索的可能性較低 **
3 不太可能遭到惡意探索 ***
0 - 偵測到惡意探索
Microsoft 知道此弱點遭到惡意探索的實例。因此,已檢閱安全性更新並判斷其適用於環境的客戶,應該將此更新的優先順序視為最高。
1 - 惡意探索的可能性較高
Microsoft 分析顯示,惡意探索程式碼可能會建立成能夠讓攻擊者以一致方式惡意探索此弱點。此外,Microsoft 知道這種弱點在過去遭到惡意探索的實例。這讓它成為吸引攻擊者的目標,因此較有可能發動惡意探索。因此,已檢閱安全性更新並判斷其適用於環境的客戶,應該將此更新的優先順序視為次高。
2 - 惡意探索的可能性較低
Microsoft 分析顯示,雖然可以建立惡意探索程式碼,但攻擊者可能無法建立程式碼、需要專業知識及/或成熟時機,以及/或可能在以受影響的產品為目標時有各種不同結果。此外,Microsoft 最近並未發現這種弱點主動遭到瘋狂惡意探索的趨勢。這讓它成為較不吸引攻擊者的目標。儘管如此,已檢閱安全性更新並判斷其適用於環境的客戶,還是應該將此更新視為內容更新。如果與其他較有可能遭到惡意探索的弱點排列優先順序,則可將此更新的部署優先順序排得較低。
3 - 不太可能遭到惡意探索
Microsoft 分析顯示,成功運作的惡意探索程式碼在真實攻擊中不太可能被利用。這表示,雖然可能發行觸發弱點並導致異常行為的惡意探索程式碼,但惡意探索的整體影響較侷限。此外,Microsoft 並未發現這種弱點在過去遭到惡意探索的實例。因此,此弱點遭到惡意探索的實際風險會大幅降低。因此,已檢閱安全性更新並判斷其適用於環境的客戶,可能會將此更新的優先順序排得比版本中其他弱點低。

DoS 惡意探索評定可能反映下列任一項:
DoS 惡意探索評定 簡短定義
暫時 惡意探索此弱點可能會導致作業系統或應用程式暫時沒有回應直到攻擊停止,或意外結束但自動復原。目標在攻擊完成後不久會恢復正常運作。
永久 惡意探索此弱點可能會導致作業系統或應用程式永久沒有回應直到手動重新啟動,或意外結束而不自動復原。
如果弱點可能允許「永久性」拒絕服務,則需要系統管理員啟動、重新啟動或重新安裝所有或部分系統。請注意,自動重新啟動系統的任何弱點也會視為永久性 DoS。此外,通常需要以互動方式使用的用戶端應用程式 (例如 Microsoft Office 版本) 不會取得 DoS 惡意探索評定。

重要字詞和定義

惡意探索程式碼 - 一種軟體程式或範例程式碼,針對易受攻擊的系統執行時,會利用弱點來偽造攻擊者身分、竄改使用者或系統資訊、拒絕攻擊者動作、洩漏伺服器端的使用者或系統資訊、拒絕提供服務給有效使用者,或提升攻擊者的權限。例如,如果某個弱點對遠端程式碼執行有安全性影響,惡意探索程式碼在針對目標系統執行時,可能會造成遠端程式碼執行。

觸發弱點 - 能夠接觸易受攻擊的程式碼,但不一定會達到最大的影響。例如,觸發遠端程式碼執行弱點可能很容易,但產生的效果可能只是拒絕服務。
|

Microsoft惡意探索指數提供額外資訊,來協助客戶排定每月安全性更新部署的優先順序。Microsoft 設計此指數是為了根據 Microsoft 安全性更新所解決的每個弱點,為客戶提供惡意探索可能性的相關指引。

客戶要求詳細資訊來協助他們排定每月 Microsoft 安全性更新部署的優先順序,特別是要求安全性更新所解決惡意探索可能性的相關詳細資料。惡意探索指數提供安全性更新發行時的弱點惡意探索實際風險相關指引。

Microsoft 惡意探索指數在建立弱點分級時著重於兩個層面:
  1. 目前的惡意探索勢,以遙測資料及特定產品中已知的特定弱點類型惡意探索為依據。
  2. 建立有效惡意探索的成本和可信度,以弱點的技術分析為依據。

雖然可靠地預測安全性生態系統內的活動總是很困難,但有三個理由說明此系統為何有用。
首先,過去幾年來,我們發現許多安全性研究人員會分析與 Microsoft 安全性更新發行時建立關聯的更新,以建立和評估保護措施。為此,許多研究人員也會建立惡意探索程式碼來進行測試。用來開發此惡意探索程式碼的方法,類似於 Microsoft 用來判斷惡意探索程式碼版本可能性的方法。Microsoft 會分析更新本身、弱點的本質,以及必須滿足才能成功執行惡意探索的條件。
其次,我們的安全性更新所解決弱點並非全部都會遭到惡意探索。弱點在技術上遭到惡意探索的可信度很高,但可能永遠不會遭到惡意探索。我們會持續監視並追蹤惡意探索活動,以隨時掌握最新趨勢。這進而讓我們知道哪些原因導致某個弱點比其他類似弱點更具吸引力,並讓我們能夠更精確地傳達實際風險,而不是所修補弱點的可能風險。

最後,我們也會透過 Microsoft Active Protections Program (MAPP) 與保護提供者合作,共同協助驗證每月的預測,以利用社群透過資訊分享來確保更佳的精確度。

安全性更新嚴重性分級系統假設惡意探索將會成功。針對較有可能惡意探索的某些弱點,這項假設很有可能對許多攻擊者都成立。若是較不可能惡意探索的其他弱點,則只有在專門的攻擊者投入大量資源以確保攻擊成功時,這項假設才成立。無論是嚴重性或惡意探索指數分級,Microsoft 一律會建議客戶部署所有適用和可用的更新;不過,此分級資訊可協助資深客戶排定採用每月版本的優先順序。

惡意探索指數不會區分弱點類型。它著重於每個弱點在其整體影響可能範圍內的惡意探索可能性。因此,任何弱點 (無論是遠端程式碼執行、竄改或其他弱點) 都可以分級成任何惡意探索指數分級。

對可能的惡意探索進行分級之能力是不斷演進的技術,無論是新的一般惡意探索技術、弱點特定的唯一技術,或特定產品中偵測到惡意探索的新趨勢,這些發現都可能會變更惡意探索指數分級。不過,惡意探索指數目標是協助客戶排定最新每月發行更新的優先順序。因此,如有變更第一個月安全性版本所發行評定的資訊,Microsoft 將會更新惡意探索指數。如果該資訊在後續幾個月變得可供使用,則在大部分客戶做出其優先順序決策之後,將不會更新惡意探索指數,因為不再適用於客戶。當惡意探索指數分級經修正反映對客戶的風險提高時,則會遞增安全性更新修訂的主要版本號碼 (例如從 1.0 到 2.0)。當風險下調時,則會遞增更新修訂的次要版本號碼 (例如從 1.0 到 1.1)。

惡意探索指數是獨立的,與其他分級系統無關。不過,MSRC 是通用弱點評分系統 (CVSS) 的一員,且 Microsoft 會與工作群組分享建立和發行惡意探索指數的體驗和客戶意見反應,以協助確保 CVSS 有效及可行。