Skip to main content
Cliquez pour évaluer et commenter 

Index d'exploitabilité Microsoft

Date de publication : 10 octobre 2008 | Mise à jour : 10 février 2009

L'Index d'exploitabilité Microsoft a pour but de fournir des informations susceptibles d'aider les clients à mieux hiérarchiser le déploiement des mises à jour de sécurité Microsoft. Il fournit un guide indiquant la probabilité que du code d'exploitation fonctionnel soit développé pour les vulnérabilités dont traitent les mises à jour de sécurité Microsoft dans les 30 jours suivants la publication de ces mises à jour.

Pourquoi Microsoft a-t-il développé l'Index d'exploitabilité ?

Grâce aux bulletins de sécurité Microsoft et à notre Webcast de bulletin de sécurité mensuel, nos clients disposent d'informations concernant le code de validation technique, le code d'exploitation ou les attaques actives en rapport avec nos mises à jour de sécurité au moment de leur publication.

Microsoft a développé l'Index d'exploitabilité en réponse aux demandes de ses clients, qui souhaitaient obtenir des informations supplémentaires afin de mieux évaluer les risques. Cet index aide les clients à hiérarchiser le déploiement des mises à jour de sécurité Microsoft en offrant des détails sur la probabilité que du code d'exploitation fonctionnel soit publié après la publication d'une mise à jour de sécurité.

Fonctionnement de l'Index d'exploitabilité Microsoft

Microsoft évalue l'exploitabilité potentielles des vulnérabilités associées à une mise à jour de sécurité Microsoft, puis publie les informations d'exploitabilité dans le cadre de la synthèse mensuelle des bulletins de sécurité Microsoft. S'il est déterminé dans les 30 jours suivants que l'Évaluation d'index d'exploitabilité nécessite une modification, Microsoft modifie l'évaluation dans la synthèse des bulletins et informe les clients par le biais des notifications de sécurité technique. L'évaluation figurant dans la synthèse des bulletins n'est pas mise à jour en cas de publication de code d'exploitation correspondant aux informations d'exploitation existantes.

Ces informations d'exploitabilité comprennent la référence du bulletin, le titre du bulletin, la référence CVE associée à la vulnérabilité en question, l'index d'exploitabilité, ainsi que des remarques clé.

Par exemple, le tableau d'informations d'exploitabilité pour un bulletin issu de la publication de mises à jour de sécurité du bulletin de sécurité d'avril 2008 ressemble à ce qui suit :

Référence du BulletinTitre du BulletinRéférence CVEIndex d'exploitabilitéRemarques clé
MS08-021 Des vulnérabilités dans GDI pourraient permettre l'exécution de code à distance (948590) CVE-2008-10871
[Possibilité de code d'exploitation fonctionnel]
Possibilité élevée pour Windows 2000 Service Pack 4 ; possibilité moyenne pour les autres systèmes d'exploitation


L'Index d'exploitabilité utilise l'une des trois valeurs suivantes pour indiquer aux clients la possibilité d'existence de code d'exploitation fonctionnel basé sur les vulnérabilités dont traitent les bulletins de sécurité Microsoft :

Index d'exploitabilitéBrève définition
1Possibilité de code d'exploitation fonctionnel
2Possibilité de code d'exploitation peu fonctionnel
3Faible possibilité de code d'exploitation fonctionnel


1 – Possibilité de code d'exploitation fonctionnel

Cette valeur signifie que notre analyse a démontré que du code d'exploitation pouvait être créé de telle manière qu'un agresseur puisse exploiter cette vulnérabilité de façon fonctionnelle. Par exemple, une exploitation pourrait provoquer l'exécution répétée et à distance du code de l'agresseur, d'une manière telle que celui-ci pourrait s'attendre à obtenir régulièrement les mêmes résultats. Cette vulnérabilité consistant une cible plus attrayante pour les agresseurs potentiels, il est par conséquent plus probable que du code d'exploitation soit créé. En conséquence, les clients ayant consulté le bulletin de sécurité et déterminé son applicabilité dans leur environnement peuvent le traiter avec une priorité élevée.

2 – Possibilité de code d'exploitation peu fonctionnel

Cette valeur signifie que notre analyse a démontré que du code d'exploitation pouvait être créé, mais qu'un agresseur obtiendrait probablement des résultats peu cohérents, même en ciblant le produit affecté. Par exemple, une exploitation serait en mesure de provoquer l'exécution de code à distance, mais avec un taux de succès de 1 sur 10 ou de 1 sur 100, selon l'état du système ciblé et la qualité du code d'exploitation. Bien qu'il soit possible à un agresseur d'augmenter les chances de succès de son code en disposant d'une meilleure connaissance et d'un meilleur contrôle de l'environnement cible, la nature peu fiable de cette attaque la rend moins attrayante. Par conséquent, il est probable que du code d'exploitation soit créé, mais il est peu probable que les attaques soient aussi efficaces que pour d'autres vulnérabilités. En conséquence, les clients ayant consulté le bulletin de sécurité et déterminé son applicabilité dans leur environnement doivent la traiter en tant que mise à jour concrète mais, en cas de hiérarchisation par rapport à d'autres vulnérabilités hautement exploitables, pourraient lui affecter une priorité de déploiement plus faible.

3 – Faible possibilité de code d'exploitation fonctionnel

Cette valeur signifie que notre analyse a démontré qu'il était peu probable que du code d'exploitation fonctionnant correctement soit publié. Cela signifie qu'il est possible que du code d'exploitation susceptible de déclencher la vulnérabilité et provoquer un comportement anormal soit publié, mais qu'il est peu probable qu'un agresseur soit en mesure de créer une exploitation susceptible de tirer pleinement parti de la vulnérabilité. Étant donné qu'un investissement important serait nécessaire de la part des agresseurs pour tirer parti des vulnérabilités de ce type, le risque de création et d'utilisation de code d'exploitation est beaucoup plus faible. Par conséquent, les clients ayant consulté le bulletin de sécurité et déterminé son applicabilité dans leur environnement peuvent placer cette mise à jour plus bas dans la hiérarchie de vulnérabilités au sein de la publication en question.

Section Remarques clé

Les Remarques clé fournies dans le tableau contiennent des informations supplémentaires indiquant s'il y a une modification significative de la prévision d'exploitabilité pour un produit ou un système d'exploitation particulier, ainsi que d'autres informations importantes liées à la capacité à exploiter cette vulnérabilité spécifique. Dans l'exemple ci-dessus, Windows 2000 est plus exposé que d'autres systèmes d'exploitation ; par conséquent, les clients doivent prendre en compte ce facteur en cas de hiérarchisation de la publication par version de produit ou de système d'exploitation.

Termes et définitions importants

Code d'exploitation – Programme logiciel ou exemple de code qui, en cas d'exécution sur un système vulnérable, utilise la vulnérabilité pour effectuer un emprunt d'identité, manipuler les informations utilisateur ou système, répudier l'action de l'agresseur, divulguer des informations utilisateur ou système, provoquer un déni de service pour des utilisateurs valides, ou élever les privilèges au bénéfice de l'agresseur.

Code d'exploitation fonctionnel – Code d'exploitation capable de produire l'impact de sécurité maximal d'une vulnérabilité. Par exemple, si l'impact de sécurité d'une vulnérabilité est l'exécution de code à distance, du code d'exploitation fonctionnel serait en mesure de provoquer l'exécution de code à distance en cas d'exécution sur un système cible.

Exploitable de manière régulière – Niveau d'exploitabilité d'une vulnérabilité tel que du code d'exploitation ciblant le système vulnérable s'exécute de manière fiable.

Exploitable de manière non régulière – Niveau d'exploitabilité d'une vulnérabilité tel que du code d'exploitation ciblant le système vulnérable fonctionne uniquement dans certaines conditions spécifiques, requiert un savoir-faire et un timing sophistiqués, ou génère des résultats variés.

Déclencher une vulnérabilité – Être en mesure d'atteindre le code vulnérable, sans être toujours en mesure d'obtenir l'impact maximal. Par exemple, il peut être facile de déclencher une vulnérabilité d'exécution de code à distance, mais avec comme unique conséquence un déni de service.

Forum aux Questions (FAQ) concernant l'Index d'exploitabilité

Q : Qu'est-ce que l'Index d'exploitabilité Microsoft ?

R : L'Index d'exploitabilité Microsoft est un index qui fournit des informations supplémentaires pour aider les clients à hiérarchiser leur déploiement des mises à jour de sécurité mensuelles. Il fournit un guide indiquant la probabilité que du code d'exploitation fonctionnel soit développé pour chacune des vulnérabilités dont traitent les bulletins de sécurité Microsoft.

Q : Pourquoi Microsoft a-t-il créé l'Index d'exploitabilité ?

R : Les clients ont demandé à disposer d'informations supplémentaires pour les aider à hiérarchiser leur déploiement mensuel des mises à jour de sécurité Microsoft et ont souhaité obtenir des détails spécifiques relatifs à la probabilité que du code d'exploitation soit développé pour les vulnérabilités dont traitent les bulletins de sécurité Microsoft. Par le biais de Webcasts et d'appels aux clients, Microsoft a toujours répondu à cette demande par une description du code d'exploitation ou des attaques connus au moment de la publication. L'Index d'exploitabilité étend cette réponse en procurant des détails concernant le degré de facilité d'exploitation d'une vulnérabilité et la probabilité que du code d'exploitation soit publié dans le mois suivant la publication d'un bulletin de sécurité.

Q : Ce système de classification est-il réellement fiable ?

R : Bien que la prévision de l'activité au sein de l'écosystème de sécurité soit toujours difficile, il existe trois raisons pour lesquels ce système peut être considéré comme fiable.

Tout d'abord, nous nous sommes rendus compte au cours de ces dernières années que de nombreux chercheurs en sécurité analysaient les mises à jour associées aux bulletins de sécurité Microsoft le jour même de leur publication afin de créer et d'évaluer les protections. Ce faisant, une grande partie d'entre eux créent également du code d'exploitation afin de tester ces protections. La méthodologie employée pour développer ce code d'exploitation est semblable à celle employée par Microsoft pour déterminer la probabilité de publication de code d'exploitation. Microsoft analyse les mises à jour proprement dites, la nature de la vulnérabilité et les conditions qui doivent être remplies pour qu'une exploitation s'exécute avec succès.

Ensuite, toutes les vulnérabilités résolues par des nos mises à jour de sécurité ne donnent pas lieu à la publication de code d'exploitation. En fait, seuls 30 pour cent des vulnérabilités résolues dans les bulletins de sécurité Microsoft en 2006 et 2007 ont donné lieu à la publication de code d'exploitation fonctionnel. Bien qu'il y ait de nombreux facteurs sociaux susceptibles de déterminer la publication de code d'exploitation, les différences d'ordre technique de certaines vulnérabilités rendent l'exploitation encore plus délicate. Par exemple, la combinaison de la randomisation du format d'espace d'adresse (ASLR, Address Space Layout Randomization) et de la prévention de l'exécution des données (DEP, Data Execution Prevention) dans Windows Vista rend certaines vulnérabilités plus difficiles à exploiter. Certaines vulnérabilités exigent également que la mémoire du système soit dans un état prévisible pour que le code d'exploitation fonctionne correctement. Par conséquent, une analyse minutieuse de chaque vulnérabilité, à l'aide de la méthodologie mentionnée plus haut, peut fournir des informations fiables sur la difficulté liée à la création de code d'exploitation qui fonctionnerait de manière régulière.

Pour finir, nous avons également établi des partenariats avec des fournisseurs de protection, par le biais du programme Microsoft Active Protections Program, afin d'aider à valider nos prévisions mensuelles, utilisant donc une approche communautaire comme moyen de garantir la précision grâce au partage d'informations.

Q : En quoi cet index se différencie-t-il du système de classement de gravité des bulletins MSRC ?

R : Le système de classement de gravité des bulletins MSRC suppose la réussite de l'exploitation. Pour certaines vulnérabilités, au degré d'exploitabilité élevé, cette supposition sera probablement fondée pour une large gamme d'agresseurs. Pour d'autres vulnérabilités, au degré faible d'exploitabilité, cette supposition peut être fondée uniquement lorsqu'un agresseur fait appel à toutes les ressources dont il dispose pour que son attaque soit couronnée de succès. Quel que soit le classement de gravité ou l'Index d'exploitabilité des bulletins, Microsoft recommande aux clients de toujours déployer toutes les mises à jour applicables et disponibles ; toutefois, ces informations de classement peuvent aider les clients disposant de solides connaissances techniques à adopter une approche hiérarchisée de leur déploiement mensuel.

Q : Que se passe-t-il dans le cas où un Index d'exploitabilité est incorrect ?

R : La capacité à évaluer l'exploitation possible des vulnérabilités est une science en évolution, et il est possible que de nouvelles techniques générales d'exploitation, ou des techniques uniques spécifiques à une vulnérabilité, susceptibles de modifier un Index d'exploitabilité soient découvertes. Toutefois, l'objectif de l'Index d'exploitabilité est d'aider les clients à hiérarchiser ces mises à jour pour la dernière publication mensuelle. Par conséquent, si des informations susceptibles de modifier une évaluation sont publiées dans le mois suivant la publication d'une mise à jour de sécurité, le MSRC met à jour l'Index d'exploitabilité. Dans le cas où des informations deviennent disponibles dans les mois suivants, après que la plupart des clients ont pris leur décision en matière de hiérarchisation, l'Index d'exploitabilité n'est pas mis à jour car cela n'est plus d'aucune utilité au client.

Q : Quel est le rapport entre l'Index d'exploitabilité et CVSS et autres systèmes de classification ?

R : L'Index d'exploitabilité est distinct des autres systèmes de classification. Cependant, le MSRC est un membre actif du CVSS (Common Vulnerability Scoring System) et Microsoft partage sont expérience et les commentaires des clients obtenus lors de la création et de la publication de l'Index d'exploitabilité avec le groupe de travail en vue de garantir l'efficacité du système CVSS.

Q. Ce système constitue-t-il un avertissement envers les attaques ciblées ?

R : Bien que l'Index d'exploitabilité en lui-même ne constitue pas un avertissement en ce qui concerne la manière dont un agresseur pourrait cibler une attaque, il peut être utile aux clients en identifiant les vulnérabilités susceptibles de figurer de manière plus proéminente dans les attaques ciblées. Par exemple, dans les attaques ciblées limitées, un agresseur est plus susceptible de choisir les vulnérabilités ayant une exploitabilité élevée afin de réduire le risque de découverte de l'attaque. Par conséquent, les clients soucieux des risques d'attaques ciblées peuvent utiliser l'Index d'exploitabilité afin de hiérarchiser les mises à jour et protections pour ces vulnérabilités lors de leurs évaluations des risques mensuelles.

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?