Skip to main content

Índice de explotabilidad de Microsoft

Publicación: 10 de octubre de 2008 | Actualizado: 10 de febrero de 2009

El Índice de explotabilidad de Microsoft está diseñado para proporcionar información adicional que ayude a los clientes a clasificar por orden de prioridad la implementación de actualizaciones de seguridad de Microsoft. Este índice proporciona orientación a los clientes acerca de la probabilidad de que se desarrolle un código operativo de vulnerabilidad de seguridad para las vulnerabilidades que abordan las actualizaciones de seguridad de Microsoft dentro de los primeros treinta días del lanzamiento de la actualización.

Por qué Microsoft desarrolló el Índice de explotabilidad

A través de los boletines de seguridad de Microsoft y durante nuestra difusión por Web del boletín de seguridad mensual, a los clientes se les entrega información acerca de código de prueba de concepto, código de vulnerabilidad de seguridad o ataques activos relacionados con nuestras actualizaciones de seguridad en el momento del lanzamiento.

Microsoft desarrolló el Índice de explotabilidad en respuesta a las solicitudes de los clientes de información adicional para evaluar mejor los riesgos. El índice ayuda a los clientes a clasificar por orden de prioridad la implementación de actualizaciones de seguridad de Microsoft al ofrecer detalles acerca de la probabilidad de lanzar un código operativo de vulnerabilidad de seguridad después del lanzamiento de una actualización de seguridad.

Cómo funciona el Índice de explotabilidad

Microsoft evalúa la posible explotabilidad de vulnerabilidades asociadas a una actualización de seguridad de Microsoft y luego publica la información de dicha explotabilidad como parte del resumen del boletín mensual de seguridad de Microsoft. Se determina que dentro de los primeros treinta días que la evaluación del Índice de explotabilidad garantiza un cambio, Microsoft cambiará la evaluación en el resumen del boletín y notificará a los clientes a través de notificaciones técnicas de seguridad. La evaluación en el resumen del boletín no se actualizará cuando se publique un código de vulnerabilidad de seguridad que coincida con la información de explotabilidad existente.

Esta información de explotabilidad incluye la identificación del boletín, el título del mismo, la identificación del CVE asociada a la vulnerabilidad específica, la Evaluación del índice de explotabilidad y las notas clave.

Por ejemplo, la tabla de información de explotabilidad para un boletín del lanzamiento de actualizaciones de seguridad del boletín de seguridad de abril de 2008 es la siguiente:

Identificación del boletínTítulo del boletínIdentificación de CVEEvaluación del Índice de explotabilidadNotas clave
MS08-021 Una vulnerabilidad en GDI podría permitir la ejecución remota de código (948590) CVE-2008-10871
[Probabilidad de código de vulnerabilidad de seguridad coherente]
Windows 2000 Service Pack 4 en probabilidad Alta; otros sistemas operativos en Media


El Índice de explotabilidad utiliza uno de tres valores para comunicar a los clientes la probabilidad de un código operativo de vulnerabilidad de seguridad, según las vulnerabilidades que se abordan en los boletines de seguridad de Microsoft:

Evaluación del Índice de explotabilidadBreve definición
1Probabilidad de código de vulnerabilidad de seguridad coherente
2Probabilidad de código de vulnerabilidad de seguridad incoherente
3Improbabilidad de código operativo de vulnerabilidad de seguridad


1 – Probabilidad de código de vulnerabilidad de seguridad coherente

Esta clasificación significa que nuestro análisis demostró que se puede crear un código de vulnerabilidad de seguridad de manera que un atacante puede explotar esa vulnerabilidad de manera coherente.  Por ejemplo, una vulnerabilidad de seguridad podría provocar la ejecución remota del código de ese atacante varias veces y de manera que un atacante podría esperar los mismos resultados de forma coherente. Esto la convertiría en un objetivo atractivo para los atacantes y, por lo tanto, habría más probabilidades de crear un código de vulnerabilidad de seguridad.  De ser así, los clientes que revisaron el boletín de seguridad y determinaron su capacidad de aplicación dentro de su entorno podrían tratar el asunto con alta prioridad.

2 – Probabilidad de código de vulnerabilidad de seguridad no coherente

Esta clasificación significa que nuestro análisis demostró que se pudo crear un código de vulnerabilidad de seguridad, pero que probablemente un atacante experimentaría resultados incoherentes, incluso si fijara como objetivo el producto afectado.  Por ejemplo, una vulnerabilidad de seguridad podría provocar la ejecución remota de código, pero sólo puede funcionar 1 de 10 veces, o 1 de 100 veces, según el estado del sistema que se fija como objetivo y la calidad del código de vulnerabilidad de seguridad. Aunque un atacante puede aumentar la coherencia de sus resultados a través de una mejor comprensión y control del entorno objetivo, la naturaleza poco confiable de este ataque la vuelve un objetivo menos atractivo para los atacantes.  Por lo tanto, es probable que se cree un código de vulnerabilidad de seguridad, pero es improbable que los ataques sean tan eficaces como otras vulnerabilidades que se pueden explotar de forma más coherente. De tal modo, los clientes que revisaron el boletín de seguridad y determinaron su capacidad de aplicación dentro de su entorno deben considerarlo una actualización de material, pero si se clasifica por orden de prioridad frente a otras vulnerabilidades altamente explotables, podría otorgarle una clasificación más baja en su prioridad de implementación.

3 – Improbabilidad de código operativo de vulnerabilidad de seguridad

Esta clasificación significa que nuestro análisis demostró que es improbable que se lance un código de vulnerabilidad de seguridad que opere correctamente. Esto significa que podría ser posible que se lanzara un código de vulnerabilidad de seguridad que podría activar la vulnerabilidad y provocar un comportamiento anormal, pero es improbable que un atacante pueda explotar la vulnerabilidad con un impacto total. Dado que las vulnerabilidades de este tipo necesitarían una inversión importante por parte de los atacantes para que fueran satisfactorias, el riesgo de que se cree y use un código de vulnerabilidad de seguridad es mucho menor. Por lo tanto, los clientes que revisaron el boletín de seguridad para determinar su capacidad de aplicación dentro de su entorno podrían clasificar por orden de prioridad esta actualización por debajo de otras vulnerabilidades dentro de un lanzamiento.

Sección de notas clave

Las notas clave que se proporcionan en la tabla contienen información adicional acerca de si existe un cambio importante en la predicción de explotabilidad para un producto o sistema operativo en particular, así como otra información importante respecto de la capacidad para explotar esa vulnerabilidad específica. En el ejemplo anterior, Windows 2000 se encuentra en mayor riesgo que otros sistemas operativos, de manera que los clientes deben tenerlo en cuenta a la hora de clasificar por orden de prioridad su lanzamiento por versión de sistema operativo o producto.

Términos y definiciones importantes

Código de vulnerabilidad de seguridad: programa de software o código de muestra que, cuando se ejecuta frente a un sistema vulnerable, utiliza la vulnerabilidad para suplantar la identidad de un atacante, alterar información de usuario o sistema, repudiar una acción contra atacantes, divulgar información de usuario o sistema, negar servicio a usuarios válidos o elevar los privilegios del atacante.

Código operativo de vulnerabilidad de seguridad: código de vulnerabilidad de seguridad que puede provocar el máximo impacto a nivel de seguridad de una vulnerabilidad.  Por ejemplo, si una vulnerabilidad tuviera un impacto a nivel de seguridad de ejecución remota de código, el Código operativo de vulnerabilidad de seguridad podría provocar que tal ejecución se produjera al ejecutarse frente a un sistema objetivo.

Explotable de forma coherente: nivel de explotabilidad de una vulnerabilidad tal que el código de vulnerabilidad de seguridad que apunta al sistema vulnerable funciona de forma confiable.

Explotable de forma incoherente: nivel de explotabilidad de una vulnerabilidad tal que el código de vulnerabilidad de seguridad que apunta al sistema vulnerable funciona sólo bajo ciertas condiciones específicas, necesita experiencia e intervalos experimentados, o arroja diferentes resultados.

Activar una vulnerabilidad: ser capaz de alcanzar el código vulnerable, pero no siempre lograr el máximo impacto.  Por ejemplo, quizás sea sencillo activar una vulnerabilidad de ejecución remota de código, pero tal vez el efecto resultante sólo sea una denegación de servicio.

Preguntas más frecuentes (P+F) relativas al Índice de explotabilidad

P: ¿Qué es el Índice de explotabilidad de Microsoft?

R: El Índice de explotabilidad de Microsoft es un índice que proporciona información adicional que permite que los clientes clasifiquen por orden de prioridad su implementación de las actualizaciones de seguridad mensuales.  Este índice está diseñado para ofrecer orientación a los clientes respecto de la probabilidad de un código operativo de vulnerabilidad de seguridad, según cada vulnerabilidad que se aborda en los boletines de seguridad de Microsoft.

P: ¿Por qué Microsoft creó el Índice de explotabilidad?

R: Los clientes solicitaron más información que les permitiera clasificar por orden de prioridad su implementación de las actualizaciones de seguridad de Microsoft cada mes, dentro de lo cual pidieron específicamente detalles acerca de la probabilidad de código de vulnerabilidad de seguridad para las vulnerabilidades que se abordan en los boletines de seguridad. A través de difusiones por Web y llamadas a los clientes, Microsoft siempre ha respondido a esta solicitud con una descripción de código de vulnerabilidad de seguridad o ataques conocidos en el momento del lanzamiento.  El Índice de explotabilidad va más allá, al proporcionar detalles acerca de qué tanto se puede explotar una vulnerabilidad y la probabilidad de que se publique un código de vulnerabilidad de seguridad el mes siguiente al lanzamiento del boletín de seguridad.

P: ¿Es este un sistema de clasificación confiable?

R: Aunque predecir actividad dentro del ecosistema de seguridad siempre es difícil, existen tres razones de por qué este sistema es confiable.

Primero, en los últimos años nos hemos dado cuenta de que muchos investigadores de seguridad analizan las actualizaciones asociadas a los boletines de seguridad de Microsoft el día de su lanzamiento a fin de crear y evaluar protecciones. Al hacerlo, muchos de estos investigadores también crean un código de vulnerabilidad de seguridad para probar estas protecciones. La metodología utilizada para desarrollar este código de vulnerabilidad de seguridad es similar a la que Microsoft utiliza para determinar la probabilidad de lanzamiento de un código de este tipo.  Microsoft analiza las actualizaciones mismas, la naturaleza de la vulnerabilidad y las condiciones que se deben cumplir para que una vulnerabilidad de seguridad se ejecute correctamente.

Segundo, no todas las vulnerabilidades resueltas por nuestras actualizaciones de seguridad dan lugar al lanzamiento de un código de vulnerabilidad de seguridad.  De hecho, sólo el 30 por ciento de las vulnerabilidades resueltas en los boletines de seguridad de Microsoft en 2006 y 2007 generaron un código operativo de vulnerabilidad de seguridad. Aunque existen muchos factores sociales que pueden determinar el lanzamiento de un código de vulnerabilidad de seguridad, las diferencias técnicas en algunas vulnerabilidades hacen de la explotación un desafío todavía mayor.  Por ejemplo, la combinación de selección aleatoria del diseño del espacio de direcciones (ASLR) y prevención de ejecución de datos (DEP) en Windows Vista hace que sea más difícil explotar algunas vulnerabilidades.  Algunas vulnerabilidades necesitan que los sistemas tengan la memoria en un estado predecible para que el código de vulnerabilidad de seguridad funcione correctamente. Por lo tanto, un análisis cuidadoso de cada vulnerabilidad, mediante la metodología mencionada anteriormente, puede proporcionar una perspectiva confiable respecto de la dificultad de crear un código de vulnerabilidad de seguridad que pueda funcionar de forma coherente.

Por último, también contamos con asociados que proporcionan protección a través de Microsoft Active Protections Program y trabajamos con ellos para ayudar a validar nuestras predicciones cada mes; por lo tanto, aplicamos un enfoque comunitario como una forma de asegurar una mejor precisión al compartir información.

P: ¿En qué se diferencia del sistema de clasificación de gravedad de boletines del MSRC?

R: El sistema de clasificación de gravedad de boletines del MSRC supone que la explotación será satisfactoria. En el caso de algunas vulnerabilidades, en que la explotabilidad es alta, es muy probable que esta suposición sea verdadera para un amplio conjunto de atacantes. En el caso de otras vulnerabilidades, en que la explotabilidad es baja, es posible que esta suposición sólo sea verdadera cuando un atacante dedicado utilice muchos recursos para garantizar que su ataque sea satisfactorio. Independientemente de la clasificación de gravedad del boletín o del Índice de explotabilidad, Microsoft siempre recomienda que los clientes implementen todas las actualizaciones correspondientes y disponibles; sin embargo, esta información de clasificación puede ayudar a clientes experimentados a clasificar por orden de prioridad su enfoque ante el lanzamiento de cada mes.

P: ¿Qué pasa si la clasificación del Índice de explotabilidad es incorrecta?

R: La capacidad de clasificar la posible explotación de vulnerabilidades es una ciencia en evolución y se pueden detectar técnicas nuevas de explotación en general o técnicas únicas específicas para una vulnerabilidad que podrían cambiar la clasificación del Índice de explotabilidad. Sin embargo, el objetivo del Índice de explotabilidad es permitir que los clientes clasifiquen por orden de prioridad esas actualizaciones para el lanzamiento mensual más actual. Por lo tanto, si existe información que cambiaría una evaluación publicada el primer mes de un lanzamiento de seguridad, el MSRC actualizará el Índice de explotabilidad. Si la información queda disponible en los meses siguientes, después de que la mayoría de los clientes hayan tomado sus decisiones de priorización, el Índice de explotabilidad no se actualizaría, puesto que ya no sería útil para el cliente.

P: ¿Cómo se relaciona el Índice de explotabilidad con el CVSS y otros sistemas de clasificación?

R: El Índice de explotabilidad es independiente y no está relacionado con otros sistemas de clasificación.  Sin embargo, el MSRC es un miembro colaborador del Common Vulnerability Scoring System (CVSS) y Microsoft comparte su experiencia y los comentarios de sus clientes para crear y publicar el Índice de explotabilidad con el grupo de trabajo a fin de garantizar que el CVSS sea eficaz y procesable.

P. ¿Advierte esto contra los ataques dirigidos?

R: Aunque el Índice de explotabilidad mismo no advierte contra la manera en que un atacante puede dirigir un ataque, puede ser útil al proporcionar a los clientes un vistazo de qué vulnerabilidades se podrían utilizar de manera más prominente en ataques dirigidos. Por ejemplo, en ataques dirigidos limitados, lo más probable es que un atacante elija vulnerabilidades con alta explotabilidad para reducir la capacidad de detección del ataque. Por lo tanto, los clientes a quienes les preocupan los ataques dirigidos pueden usar el Índice de explotabilidad para clasificar por orden de prioridad esas actualizaciones y predicciones para tales vulnerabilidades en sus evaluaciones mensuales de riesgos.

Microsoft está realizando una encuesta en línea para comprender su opinión del sitio web de. Si decide participar, se le presentará la encuesta en línea cuando abandone el sitio web de.

¿Desea participar?