Skip to main content

Microsoft Exploitability Index

Data di pubblicazione: 10 ottobre 2008 | Aggiornamento: 10 febbraio 2009

Il Microsoft Exploitability Index è progettato per fornire ai clienti informazioni aggiuntive in grado di facilitare l'assegnazione della corretta priorità di distribuzione agli aggiornamenti della protezione Microsoft. Tale indice offre indicazioni sulla probabilità che venga sviluppato codice exploit funzionante per le vulnerabilità risolte da un aggiornamento della protezione Microsoft entro i primi trenta giorni dal rilascio dello specifico aggiornamento.

Perché Microsoft ha sviluppato l'Exploitability Index

I Bollettini Microsoft sulla sicurezza e le trasmissioni webcast mensili su tali bollettini forniscono ai clienti informazioni sul codice di prova, sul codice exploit o sugli attacchi attivi correlati agli aggiornamenti della protezione al momento del rilascio.

Microsoft ha sviluppato l'Exploitability Index in risposta alla richiesta dei clienti di informazioni aggiuntive che consentissero un'ulteriore valutazione del rischio. L'indice aiuta i clienti ad attribuire la corretta priorità di distribuzione agli aggiornamenti della protezione Microsoft fornendo dettagli sulla probabilità di rilascio di codice exploit funzionante dopo il rilascio di un aggiornamento della protezione.

Funzionamento dell'Exploitability Index

Microsoft valuta la potenziale sfruttabilità delle vulnerabilità associate a un aggiornamento della protezione Microsoft e pubblica le informazioni sulla sfruttabilità come parte del riepilogo mensile dei Bollettini Microsoft sulla sicurezza. Se entro i primi trenta giorni si determina una situazione che impone la modifica della valutazione dell'Exploitability Index, Microsoft modifica la valutazione nel riepilogo dei bollettini e invia una segnalazione ai clienti attraverso le notifiche sulla sicurezza Microsoft. La valutazione non viene aggiornata nel riepilogo dei bollettini quando viene registrato codice exploit che corrisponde alle informazioni di sfruttabilità esistenti.

Le informazioni di sfruttabilità includono l'ID e il titolo del bollettino, l'ID CVE associato alla specifica vulnerabilità, la valutazione dell'indice di sfruttabilità e le note fondamentali.

Ad esempio, la tabella delle informazioni di sfruttabilità di un bollettino dal rilascio degli aggiornamenti della protezione del mese di aprile 2008 ha un aspetto simile al seguente:

ID bollettinoTitolo del bollettinoID CVEValutazione dell'Exploitability IndexNote fondamentali
MS08-021 Vulnerabilità in GDI possono consentire l'esecuzione di codice in modalità remota (948590) CVE-2008-10871
[Probabilità di codice exploit costante]
Windows 2000 Service Pack 4 con probabilità alta, altri sistemi operativi con probabilità media


Per segnalare ai clienti la probabilità di codice exploit funzionante, l'Exploitability Index utilizza tre possibili valori, in base alle vulnerabilità risolte dai Bollettini Microsoft sulla sicurezza:

Valutazione dell'Exploitability IndexDefinizione breve
1Probabilità di codice exploit costante
2Probabilità di codice exploit non costante
3Improbabilità di codice exploit funzionante


1 - Probabilità di codice exploit costante

Questa valutazione indica che l'analisi ha evidenziato che sarebbe possibile creare del codice exploit tale da consentire a un utente malintenzionato di sfruttare con risultati costanti la specifica vulnerabilità. Ad esempio, un exploit potrebbe provocare la ripetuta esecuzione in modalità remota del codice dell'utente malintezionato, in un modo tale da lasciar prevedere gli stessi risultati in modo costante. Gli utenti malintenzionati troverebbero tale situazione interessante, rendendo quindi più alta la probabilità che il codice exploit venga creato. In questo senso, i clienti che leggono il bollettino sulla sicurezza e ne determinano l'applicabilità al proprio ambiente, possono assegnare a questo aggiornamento una priorità più elevata.

2 - Probabilità di codice exploit non costante

Questa valutazione indica che l'analisi ha evidenziato che sarebbe possibile creare il codice exploit ma che un utente malintenzionato otterrebbe probabilmente risultati non costanti, anche avendo come obiettivo specifico il prodotto interessato. Ad esempio, un exploit potrebbe provocare l'esecuzione del codice in modalità remota, funzionando però solo una volta su 10 o una volta su 100, in base allo stato del sistema oggetto dell'attacco e alla qualità del codice exploit. Anche se chi effettua l'attacco potrebbe aumentare il grado di successo dei risultati migliorando la conoscenza e il controllo dell'ambiente attaccato, la natura non affidabile dell'attacco stesso lo rende meno allettante. È quindi probabile che il codice exploit verrà creato, ma è improbabile che gli attacchi saranno tanto efficaci come nel caso di altre vulnerabilità sfruttabili in modo più costante. In questo senso, i clienti che leggono il bollettino sulla sicurezza e ne determinano l'applicabilità al proprio ambiente dovrebbero considerarlo come aggiornamento materiale ma, rispetto ad altre vulnerabilità altamente sfruttabili, classificarlo a un livello inferiore nella priorità di distribuzione.

3 - Improbabilità di codice exploit funzionante

Questa valutazione indica che l'analisi ha evidenziato che è improbabile che venga rilasciato codice exploit in grado di funzionare. In altre parole, potrebbe essere rilasciato codice exploit in grado di attivare la vulnerabilità e provocare un comportamento anomalo, ma è improbabile che possa essere creato un exploit in grado di sfruttare pienamente la vulnerabilità. Poiché vulnerabilità di questo tipo, per essere realmente sfruttabili, richiedono investimenti significativi da parte di chi effettua l'attacco, il rischio di creazione e utilizzo di codice exploit è molto inferiore. Pertanto, i clienti che leggono il bollettino sulla sicurezza per determinarne l'applicabilità al proprio ambiente possono assegnare a questo aggiornamento una priorità inferiore rispetto ad altre vulnerabilità all'interno di un rilascio.

Sezione delle note fondamentali

Le note fondamentali incluse nella tabella contengono informazioni aggiuntive riguardanti eventuali modifiche significative alla previsione di sfruttabilità di un particolare prodotto o sistema operativo, nonché altre importanti informazioni relative alla capacità di sfruttare la specifica vulnerabilità. Nell'esempio precedente, Windows 2000 è più a rischio di altri sistemi operativi. I clienti devono pertanto tenerne conto nell'assegnazione della priorità al rilascio in base alla versione del sistema operativo o del prodotto.

Importanti termini e definizioni

Codice exploit - Programma software o codice di esempio che, eseguito in un sistema vulnerabile, utilizza la vulnerabilità per effettuare lo spoofing dell'identità di chi esegue l'attacco, manomettere le informazioni sugli utenti o sul sistema, ripudiare l'azione di chi esegue l'attacco, divulgare informazioni sugli utenti o sul sistema, negare l'accesso ai servizi a utenti validi o elevare i privilegi di chi esegue l'attacco.

Codice exploit funzionante - Codice exploit in grado di produrre il massimo impatto sulla protezione di una vulnerabilità. Ad esempio, se una vulnerabilità avesse un impatto sulla protezione che si concretizza nell'esecuzione di codice in modalità remota, il codice exploit funzionante sarebbe in grado di provocare l'esecuzione di codice in modalità remota quando eseguito in un sistema obiettivo.

Sfruttabile in modo costante - Livello di sfruttabilità di una vulnerabilità, tale che il codice exploit che ha come obiettivo il sistema vulnerabile ottiene risultati affidabili.

Sfruttabile in modo non costante - Livello di sfruttabilità di una vulnerabilità, tale che il codice exploit che ha come obiettivo il sistema vulnerabile funziona solo in determinate condizioni, richiede competenza e un livello sofisticato di tempestività oppure ottiene risultati incostanti.

Attivare una vulnerabilità - Essere in grado di raggiungere il codice vulnerabile ma non sempre di ottenere il massimo impatto. Ad esempio, può essere facile attivare una vulnerabilità di esecuzione di codice in modalità remota ma l'effetto risultante potrebbe essere solo un attacco Denial of Service.

Domande frequenti relative all'Exploitability Index

D. Che cos'è il Microsoft Exploitability Index?

R. Il Microsoft Exploitability Index fornisce ai clienti informazioni aggiuntive in grado di facilitare l'assegnazione della corretta priorità di distribuzione agli aggiornamenti mensili della protezione. L'indice è progettato per fornire indicazioni relative alla probabilità di codice exploit funzionante, in base a ciascuna vulnerabilità risolta dai Bollettini Microsoft sulla sicurezza.

D. Perché Microsoft ha creato l'Exploitability Index?

R. I clienti hanno chiesto maggiori informazioni a supporto della corretta assegnazione della priorità di distribuzione agli aggiornamenti della protezione Microsoft ogni mese, in particolare dettagli sulla probabilità di codice exploit per le vulnerabilità risolte nei bollettini sulla sicurezza. Attraverso le trasmissioni webcast e le chiamate dei clienti, Microsoft ha sempre soddisfatto questa richiesta con una descrizione del codice exploit o degli attacchi noti al momento del rilascio. L'Exploitability Index fornisce un ulteriore livello di informazioni perché indica il grado di possibile sfruttabilità di una vulnerabilità e la probabilità che venga pubblicato codice exploit nel mese successivo al rilascio di un bollettino sulla sicurezza.

D. Si tratta di un sistema di valutazione realmente affidabile?

R. Anche se la previsione di attività in un ecosistema di protezione è sempre difficile, esistono tre motivi per cui il sistema può essere considerato affidabile.

Per prima cosa, negli ultimi anni è emerso che molti ricercatori nel campo della protezione analizzano gli aggiornamenti associati ai Bollettini Microsoft sulla sicurezza il giorno stesso del rilascio allo scopo di creare e valutare le protezioni. Così facendo molti ricercatori creano anche il codice exploit per testare tali protezioni. La metodologia utilizzata per sviluppare il codice exploit è simile a quella utilizzata da Microsoft per determinare la probabilità di rilascio di codice exploit. Microsoft analizza gli aggiornamenti, la natura della vulnerabilità e le condizioni da soddisfare per l'esecuzione efficace di un exploit.

Il secondo motivo si basa sul fatto che non tutte le vulnerabilità risolte dagli aggiornamenti della protezione Microsoft provocano il rilascio di codice exploit. In realtà solo il 30% delle vulnerabilità risolte nei Bollettini Microsoft sulla sicurezza nel 2006 e 2007 è stato associato al rilascio di codice exploit funzionante. Anche se sussistono molti fattori sociali che possono determinare il rilascio di codice exploit, le differenze tecniche in alcune vulnerabilità rendono lo sfruttamento particolarmente difficile. Ad esempio, la combinazione delle funzionalità ASLR (Address Space Layout Randomization) e Protezione esecuzione programmi in Windows Vista rende alcune vulnerabilità più difficili da sfruttare. Inoltre, perché il codice exploit funzioni su alcune vulnerabilità, è necessario che la memoria dei sistemi si trovi in uno stato prevedibile. Pertanto l'attento esame di ciascuna vulnerabilità, unito alla metodologia descritta prima, può fornire un'affidabile analisi dettagliata della difficoltà di creare codice exploit in grado di funzionare in modo costante.

Infine, Microsoft ha avviato il programma MAPP (Microsoft Active Protections Program) per la realizzazione di partnership con provider di protezione, in un impegno di collaborazione per la convalida delle previsioni mensili, adottando quindi un approccio di tipo community per favorire la circolazione e la condivisione delle informazioni.

D. Qual è la differenza rispetto al sistema di valutazione della gravità dei bollettini sulla sicurezza MSRC?

R. Il sistema di valutazione della gravità dei bollettini sulla sicurezza MSRC presuppone la riuscita dello sfruttamento. Per alcune vulnerabilità a sfruttabilità elevata questo presupposto è molto probabilmente vero per un'ampia serie di utenti malintenzionati. Per altre vulnerabilità, a sfruttabilità bassa, il presupposto potrebbe essere vero solo quando un attacco viene perpetrato in modo specifico e con l'impiego di molte risorse per garantirne la riuscita. Indipendentemente dalla valutazione indicata con il sistema basato sulla gravità dei bollettini o con l'Exploitability Index, Microsoft consiglia sempre ai clienti di distribuire tutti gli aggiornamenti applicabili e disponibili; in ogni caso, queste informazioni di valutazione possono assistere i clienti con organizzazioni più complesse nell'assegnazione della corretta priorità di distribuzione del rilascio mensile.

D. Che cosa succede se una valutazione dell'Exploitability Index è errata?

R. La capacità di valutare il possibile sfruttamento delle vulnerabilità si basa su studi in continua evoluzione e potrebbero comunque essere scoperte nuove tecniche di sfruttamento in generale, o tecniche specifiche per una vulnerabilità, in grado di modificare la valutazione dell'Exploitability Index. Tuttavia, l'obiettivo dell'Exploitability Index è aiutare i clienti ad assegnare la corretta priorità agli aggiornamenti dell'ultimo rilascio mensile. Pertanto, se esistono informazioni in grado di modificare una valutazione rilasciata nel primo mese di un rilascio di protezione, l'Exploitability Index verrà aggiornato da MSRC. Se le informazioni diventano disponibili nei mesi successivi, dopo che la maggior parte dei clienti ha preso le proprie decisioni in termini di assegnazione di priorità, l'Exploitability Index non viene aggiornato perché non più utile ai clienti.

D. Qual è la relazione tra l'Exploitability Index e CVSS e altri sistemi di valutazione?

R. L'Exploitability Index è completamente separato e non ha correlazione con altri sistemi di valutazione. Tuttavia, MSRC collabora attivamente al sistema CVSS (Common Vulnerability Scoring System) e Microsoft condivide la propria esperienza e i commenti dei clienti relativi alla creazione e al rilascio dell'Exploitability Index con il gruppo di lavoro, per assicurare che CVSS sia efficace e completamente funzionante.

D. L'indice include avvisi relativi ad attacchi mirati?

R. L'Exploitability Index non contiene di per sé avvisi rispetto alle modalità di attacchi specifici, ma può essere utile nel fornire ai clienti un contesto in cui le vulnerabilità potrebbero essere maggiormente sfruttate in attacchi mirati. Ad esempio, in attacchi mirati limitati, l'autore dell'attacco sceglierà presumibilmente le vulnerabilità con un alto grado di sfruttabilità per ridurre la possibilità che l'attacco venga individuato. Nel momento della valutazione mensile del rischio, i clienti preoccupati di attacchi mirati possono quindi utilizzare l'Exploitability Index per dare priorità agli aggiornamenti e alle protezioni per tali vulnerabilità.

Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di. Se si sceglie di partecipare, quando si lascia il sito Web di verrà visualizzato il sondaggio in linea.

Si desidera partecipare?