Skip to main content

Microsoft Exploitability Index

Veröffentlicht: 10. Oktober 2008 | Aktualisiert: 10. Februar 2009

Der Microsoft Exploitability Index soll zusätzliche Informationen bieten, die es den Kunden erleichtert, Prioritäten bezüglich der Bereitstellung von Microsoft-Sicherheitsupdates zu setzen. Dieser Index gibt Kunden Anhaltspunkte dazu, wie wahrscheinlich es ist, dass innerhalb der ersten 30 Tage nach Veröffentlichung eines Microsoft-Sicherheitsupdates funktionierender Exploitcode für die mit dem Update zu behebenden Sicherheitsrisiken entwickelt wird.

Warum Microsoft den Exploitability Index entwickelt hat

Durch die Microsoft-Sicherheitsbulletins und den monatlichen Sicherheitsbulletin-Webcast erhalten die Kunden Informationen zu Machbarkeitscode, Exploitcode und aktiven Angriffen, die zum Zeitpunkt der Veröffentlichung für unsere Sicherheitsupdates relevant sind.

Microsoft entwickelte den Exploitability Index, weil Kunden weitere Informationen zur näheren Risikobewertung anforderten. Dieser Index hilft Kunden, Prioritäten bezüglich der Bereitstellung von Microsoft-Sicherheitsupdates zu setzen, indem er nähere Angaben zur Wahrscheinlichkeit bereitstellt, dass nach der Veröffentlichung eines Microsoft-Sicherheitsupdates funktionierender Exploitcode veröffentlicht wird.

Funktionsweise des Exploitability Index

Microsoft bewertet die potenzielle Ausnutzbarkeit von Sicherheitsrisiken, die einem Microsoft-Sicherheitsupdate zugeordnet sind, und veröffentlicht diese Informationen im Rahmen der monatlichen Zusammenfassung der Microsoft-Sicherheitsbulletins. Wenn sich innerhalb der ersten 30 Tage herausstellt, dass die Bewertung (Exploitability Index Assessment) geändert werden muss, dann ändert Microsoft die Bewertung in der Bulletinzusammenfassung und benachrichtigt Kunden über technische Sicherheitsbenachrichtigungen. In der Bulletinzusammenfassung wird die Bewertung nicht aktualisiert, wenn Exploitcode veröffentlicht wird, der den vorhandenen Angaben zur Ausnutzbarkeit entspricht.

Zu diesen Angaben gehören die Bulletin-ID, der betreffende Bulletintitel, die dem betreffenden Sicherheitsrisiko zugeordnete CVE-ID, die Bewertung im Exploitability Index und wichtige Hinweise.

Beispielsweise enthält die Tabelle mit Informationen zur Ausnutzbarkeit für ein Sicherheitsbulletin zu einem Sicherheitsupdate im April 2008 folgende Angaben:

Bulletin-IDBulletintitelCVEIDExploitability Index Assessment (Bewertung)Wichtige Hinweise
MS08-021 Vulnerabilities in GDI Could Allow Remote Code Execution (948590) (Sicherheitsanfälligkeiten in GDI können Remotecodeausführung ermöglichen) CVE-2008-10871
[Konsistenter Exploitcode wahrscheinlich]
Windows 2000 Service Pack 4 mit hoher Wahrscheinlichkeit; andere Betriebssysteme mit mittlerer Wahrscheinlichkeit


Der Exploitability Index enthält einen von drei Werten zur Angabe der Wahrscheinlichkeit, mit der funktionierender Exploitcode entwickelt wird, der die in Microsoft-Sicherheitsbulletins beschriebenen Sicherheitsanfälligkeiten ausnutzt.

Exploitability Index Assessment (Bewertung)Kurzdefinition
1Konsistenter Exploitcode wahrscheinlich
2Inkonsistenter Exploitcode wahrscheinlich
3Funktionierender Exploitcode unwahrscheinlich


1 – Konsistenter Exploitcode wahrscheinlich

Diese Einstufung bedeutet, dass unsere Analyse ergeben hat, dass Exploitcode erstellt werden könnte, der es Angreifern ermöglicht, das betreffende Sicherheitsrisiko konsistent auszunutzen. Beispielsweise könnte ein Exploit die wiederholte Remoteausführung von böswilligem Code bewirken, sodass der Angreifer konsistent die gleichen Ergebnisse erwarten kann. Ein Sicherheitsrisiko mit dieser Einstufung stellt ein attraktives Ziel für Angreifer dar, und daher ist die Erstellung von Exploitcode wahrscheinlicher. Folglich könnten Kunden, die das Sicherheitsbulletin gelesen und es als für ihre Umgebung relevant erachtet haben, ihm eine höhere Priorität zuordnen.

2 – Inkonsistenter Exploitcode wahrscheinlich

Diese Einstufung bedeutet, dass unsere Analyse ergeben hat, dass Exploitcode erstellt werden könnte, Angreifer jedoch auch dann nicht die gleichen Ergebnisse erwarten können, wenn das betroffene Produkt angegriffen wird.  Beispielsweise könnte ein Exploit die wiederholte Remoteausführung von böswilligem Code bewirken, aber nur mit einer Wahrscheinlichkeit von 1:10 oder 1:100 funktionieren, abhängig vom Status des angegriffenen Systems und der Qualität des Exploitcodes. Angreifer mögen zwar in der Lage sein, konsistentere Ergebnisse zu erzielen, wenn sie die Zielumgebung besser kennen und sie besser steuern können, allerdings sind Angriffe wegen ihrer Unzuverlässigkeit für Angreifer weniger attraktiv. Daher ist es wahrscheinlich, dass Exploitcode erstellt wird, aber es ist unwahrscheinlich, dass Angriffe so wirksam sind wie bei anderen konsistenter auszunutzenden Sicherheitsanfälligkeiten. Kunden, die das Sicherheitsbulletin gelesen und festgestellt haben, dass es für ihre Umgebung relevant ist, sollten dies als Materialverbesserung behandeln, sie sollten ihm im Vergleich zu anderen stark ausnutzbaren Sicherheitsrisiken jedoch eine niedrigere Bereitstellungspriorität zuordnen.

3 – Funktionierender Exploitcode unwahrscheinlich

Diese Einstufung bedeutet, dass unsere Analyse ergeben hat, dass die Veröffentlichung von Exploitcode, der die Anfälligkeit erfolgreich ausnutzt, unwahrscheinlich ist. Das heißt, dass es möglich ist, Exploitcode zu veröffentlichen, der die Sicherheitsanfälligkeit ausnutzt und ein anormales Verhalten bewirkt. Es ist jedoch unwahrscheinlich, dass ein Angreifer ein Exploit erstellt, das die Sicherheitsanfälligkeit in vollem Umfang ausnutzt. Da Sicherheitsrisiken dieser Art erhebliche Investitionen seitens der Angreifer erfordern, um für diese von Nutzen zu sein, ist die Wahrscheinlichkeit viel geringer, dass Exploitcode erstellt und verwendet wird. Folglich könnten Kunden, die das Sicherheitsbulletin gelesen haben, um festzustellen, ob es für ihre Umgebung relevant ist, ihm eine niedrigere Priorität als anderen Sicherheitsrisiken der betreffenden Ausgabe zuordnen.

Abschnitt mit wichtigen Hinweisen

Die wichtigen Hinweise in der Tabelle enthalten zusätzliche Informationen dazu, ob eine deutliche Änderung in der Bewertung der Ausnutzbarkeit eines bestimmten Produkts oder Betriebssystems vorliegt, sowie andere wichtige Informationen zur Fähigkeit, diese Sicherheitsanfälligkeit auszunutzen. Im obigen Beispiel ist Windows 2000 stärker gefährdet als andere Betriebssysteme; daher sollten Kunden dies bei der Priorisierung ihrer Ausgabe nach Betriebssystem oder Produktversion berücksichtigen.

Wichtige Begriffe und Definitionen

Exploitcode – Ein Softwareprogramm oder Beispielcode, das bzw. der eine Sicherheitsanfälligkeit des Systems, auf dem es bzw. er ausgeführt wird, ausnutzt, um die Identität des Angreifers zu verschleiern, Benutzer- oder Systeminformationen zu verfälschen, den Angriff zu leugnen, Benutzer- oder Systeminformationen offen zu legen, berechtigten Benutzern Dienste zu verweigern oder die Berechtigungen des Angreifers zu erweitern.

Funktionierender Exploitcode – Exploitcode, der in der Lage ist, eine Sicherheitsanfälligkeit in vollem Umfang auszunutzen. Wenn eine Sicherheitsanfälligkeit beispielsweise das Sicherheitsrisiko der Remotecodeausführung aufweist, dann wäre funktionierender Exploitcode in der Lage, eine Remotecodeausführung zu bewirken, wenn er auf dem Zielsystem ausgeführt wird.

Konsistent ausnutzbar – Der Grad an Ausnutzbarkeit einer Sicherheitsanfälligkeit, sodass für ein entsprechend anfälliges System entwickelter Exploitcode zuverlässig das erwartete Ergebnis bringt.

Inkonsistent ausnutzbar – Der Grad an Ausnutzbarkeit einer Sicherheitsanfälligkeit, sodass für ein entsprechend anfälliges System entwickelter Exploitcode nur unter bestimmten Bedingungen funktioniert, Expertise und intelligentes Timing erfordert oder zu unterschiedlichen Ergebnisse führt.

Erzeugen eines Sicherheitsrisikos – Der Angreifer ist in der Lage, Code mit einer Sicherheitsanfälligkeit anzusprechen, kann die Anfälligkeit jedoch nicht in vollem Umfang ausnutzen.  Beispielsweise kann es einfach sein, das Risiko einer Remotecodeausführung zu erzeugen, aus der dann allerdings nur eine Dienstverweigerung resultiert.

Häufig gestellte Fragen (FAQ) zum Exploitability Index

Frage: Was ist der Microsoft Exploitability Index?

Antwort: Der Microsoft Exploitability Index stellt zusätzliche Informationen bereit, die es Kunden erleichtert, Prioritäten bezüglich der Bereitstellung der monatlichen Sicherheitsupdates zu setzen.  Dieser Index soll Kunden Informationen zur Wahrscheinlichkeit bereitstellen, mit der funktionierender Exploitcode entwickelt wird, der die in Microsoft-Sicherheitsbulletins beschriebenen Sicherheitsanfälligkeiten ausnutzt.

Frage: Warum hat Microsoft den Exploitability Index erstellt?

Antwort: Kunden baten um Informationen, die ihnen helfen würden, Prioritäten bezüglich der Bereitstellung der wöchentlichen Microsoft-Sicherheitsupdates zu setzen. Insbesondere forderten sie nähere Angaben zur Wahrscheinlichkeit, mit der Exploitcode für die in Sicherheitsbulletins behandelten Sicherheitsrisiken veröffentlicht wird. Microsoft hat diese Anfragen stets über Webcasts und Kundenanrufe beantwortet und zum Zeitpunkt der Veröffentlichung bekannten Exploitcode oder Angriffe beschrieben. Der Exploitability Index geht darüber hinaus, indem detaillierte Informationen zur Ausnutzbarkeit einer Sicherheitsanfälligkeit und die Wahrscheinlichkeit, mit der in dem nach der Herausgabe eines Sicherheitsbulletins folgenden Monats Exploitcode veröffentlicht wird, bereitgestellt werden.

Frage: Ist dies ein wirklich zuverlässiges Bewertungssystem?

Antwort: Es ist zwar immer schwierig, im Sicherheitsbereich Vorhersagen zu treffen, dieses System sollte aber aus drei Gründen zuverlässig sein.

Erstens haben wir in den letzten Jahren erkannt, dass viele Sicherheitsexperten die mit Microsoft-Sicherheitsbulletins verbundenen Updates unmittelbar nach ihrer Veröffentlichung analysieren, um Schutzmaßnahmen zu erstellen oder zu bewerten. Dabei entwickeln auch viele dieser Sicherheitsexperten Exploitcode, um diese Schutzmaßnahmen zu testen. Die Methodik, die bei der Entwicklung dieses Exploitcodes verwendet wird, ähnelt derjenigen, die Microsoft bei der Ermittlung der Wahrscheinlichkeit der Veröffentlichung von Exploitcode verwendet. Microsoft analysiert die Updates, die Art der Sicherheitsanfälligkeit und die Bedingungen, die für eine erfolgreiche Ausführung von Exploitcode erfüllt sein müssen.

Zweitens wird nicht für alle Sicherheitsanfälligkeiten, die durch unsere Sicherheitsupdates behoben werden, Exploitcode in Umlauf gebracht. Tatsächlich wurde nur für 30 Prozent der in den Jahren 2006 und 2007 durch Microsoft-Sicherheitsbulletins behobenen Sicherheitsrisiken funktionierender Exploitcode veröffentlicht wurde. Es gibt zwar viele soziale Faktoren, die für die Veröffentlichung von Exploitcode von Belang sein können, die technischen Unterschiede zwischen Sicherheitsanfälligkeiten spielen für die Ausnutzbarkeit jedoch eine noch größere Rolle. Beispielsweise wird in Windows Vista durch die Kombination von ASLR (Address Space Layout Randomization, Zufällige Anordnung des Adressraumlayouts) und DEP (Data Execution Prevention, Datenausführungsverhinderung) die Ausnutzung einiger Sicherheitsanfälligkeiten erschwert. Bei einigen Sicherheitsanfälligkeiten kann Exploitcode auch nur dann erfolgreich ausgeführt werden, wenn sich der Arbeitsspeicher der Systeme in einem bestimmten vorhersagbaren Zustand befindet. Daher lassen sich durch eine sorgfältige Analyse der einzelnen Sicherheitsanfälligkeiten unter Verwendung der oben beschriebenen Methodik zuverlässige Aussagen darüber treffen, wie schwierig die Entwicklung konsistent funktionierenden Exploitcodes ist.

Schließlich gehen wir auch über das Microsoft Active Protections Program Partnerschaften mit Anbietern von Schutzmaßnahmen ein und überprüfen gemeinsam mit unseren Partnern jeden Monat unsere Vorhersagen. Wir nutzen also einen Communityansatz, um durch Informationsaustausch höhere Treffsicherheit zu gewährleisten.

Frage: Worin unterscheidet es sich vom Bewertungssystems für Sicherheitsbulletins des MSRC?

Antwort: Das MSRC-Bewertungssystem für Sicherheitsbulletins setzt voraus, dass Schwachstellen ausgenutzt werden. Bei einigen Sicherheitsanfälligkeiten, die sich leicht ausnutzen lassen, mag diese Annahme auf eine Vielzahl von Angreifern zutreffen. Bei anderen Sicherheitsanfälligkeiten, die nur schwer auszunutzen sind, mag diese Annahme nur zutreffen, wenn ein hartnäckiger Angreifer eine Menge Ressourcen auf das Erreichen eines erfolgreichen Angriffs verwendet. Unabhängig vom Bewertungssystem für Sicherheitsbulletins und dem Exploitability Index, empfiehlt Microsoft den Kunden stets, alle maßgeblichen und verfügbaren Updates anzuwenden. Mithilfe dieser Bewertungen können erfahrene Kunden jedoch leichter bestimmen, welche Bedeutung sie den monatlich erscheinenden Updates zumessen.

Frage: Was geschieht, wenn die Bewertung im Exploitability Index falsch ist?

Antwort: Die Fähigkeit, die mögliche Ausnutzung von Sicherheitsanfälligkeiten zu bewerten, entwickelt sich kontinuierlich, und es können neue allgemeine Ausnutzungstechniken und spezielle, auf eine Sicherheitsanfälligkeit bezogene Techniken entwickelt werden, durch die sich die Bewertungen im Exploitability Index ändern können. Das Ziel des Exploitability Index besteht jedoch darin, Kunden bei der Priorisierung der Updates der aktuellsten monatlichen Ausgabe zu unterstützen. Wenn im ersten Monat nach der Veröffentlichung eines Sicherheitsupdates Informationen vorliegen, die zu einer anderen Bewertung führen würden, dann aktualisiert das MSRC den Exploitability Index. Falls in den nachfolgenden Monaten, nachdem die meisten Kunden ihre Prioritäten gesetzt haben, Informationen verfügbar werden, dann wird der Exploitability Index nicht aktualisiert, die dies für die Kunden nicht mehr hilfreich wäre.

Frage: In welcher Beziehung steht der Exploitability Index zum CVSS und anderen Bewertungssystemen?

Antwort: Es besteht keine Beziehung zwischen dem Exploitability Index und anderen Bewertungssystemen. MSRC trägt allerdings als Mitglied zum Common Vulnerability Scoring System (CVSS) bei. Microsoft bringt seine Erfahrungen und Kundenrückmeldungen in Bezug auf die Erstellung und Veröffentlichung des Exploitability Index in die Arbeitsgruppe ein, um sicherzustellen, dass das CVSS effektiv und verfolgbar ist.

Frage. Ist dies eine Warnung vor gezielten Angriffen?

Antwort: Der Exploitability Index an sich enthält zwar keine Warnung dazu, wie Angreifer das Ziel eines Angriffs definieren, allerdings kann er für Kunden hilfreich sein, indem er ihnen veranschaulicht, welche Sicherheitsanfälligkeiten eine größere Rolle in gezielten Angriffen spielen könnten. Bei gezielten Angriffen mit begrenztem Umfang wählt der Angreifer beispielsweise leicht auszunutzende Sicherheitsanfälligkeiten, damit der Angriff nicht so schnell erkannt wird. Daher verwenden Kunden, die sich mit gezielten Angriffen befassen, den Exploitability Index, um den betreffenden Updates und den Schutzmaßnahmen für diese Sicherheitsanfälligkeiten in ihrer monatlichen Risikoeinschätzung eine Priorität zuzuordnen.

Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur -Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die -Website verlassen.

Möchten Sie teilnehmen?