Skip to main content

Índice de Exploração Microsoft

Publicado em: 10 de outubro de 2008 | Atualizado em: 10 de fevereiro de 2009

O Índice de Exploração Microsoft foi criado com a finalidade de fornecer informações adicionais para ajudar os clientes a priorizar melhor a implantação de atualizações de segurança da Microsoft. Esse índice oferece aos clientes diretrizes sobre a probabilidade de ser desenvolvido um código de exploração operacional para as vulnerabilidades tratadas pelas atualizações de segurança da Microsoft nos primeiros 30 dias após o lançamento da atualização.

Por que a Microsoft desenvolveu o Índice de Exploração

Através dos boletins de segurança da Microsoft e durante nosso webcast mensal do boletim de segurança, os clientes recebem informações sobre código de verificação de conceito, código de exploração ou ataques ativos relacionados a nossas atualizações de segurança no momento de seu lançamento.

A Microsoft desenvolveu o Índice de Exploração em resposta às solicitações de clientes por informações adicionais que permitissem avaliar melhor o risco. O índice ajuda os clientes a priorizar a implantação de atualizações de segurança da Microsoft, fornecendo detalhes sobre a probabilidade de que um código de exploração operacional seja lançado após a liberação de uma atualização de segurança.

Como funciona o Índice de Exploração

A Microsoft avalia o potencial de exploração das vulnerabilidades associadas a uma atualização de segurança da Microsoft e publica essas informações como parte do resumo do boletim de segurança mensal da Microsoft. Se for determinado nos primeiros 30 dias que a Avaliação do índice de exploração garante uma alteração, a Microsoft alterará a avaliação no resumo do boletim e notificará os clientes através de notificações técnicas de segurança. A avaliação no resumo do boletim não será atualizada quando for postado um código de exploração que corresponda às informações de potencial de exploração existentes.

Essas informações de potencial de exploração incluem a ID do boletim, o título desse boletim, a ID de CVE associada com a vulnerabilidade específica, a Avaliação do índice de exploração e as principais observações.

Por exemplo, a tabela de informações do potencial de exploração referente a um boletim do lançamento da atualização de segurança do boletim de segurança de abril de 2008 é a seguinte:

ID do boletimTítulo do boletimID do CVEAvaliação do Índice de ExploraçãoPrincipais observações
MS08-021 Vulnerabilidade no GDI pode permitir a execução remota de código (948590) CVE-2008-10871
[Probabilidade de código de exploração consistente]
Windows 2000 Service Pack 4 com Alta probabilidade; outros sistemas operacionais com probabilidade Média


O Índice de Exploração usa um de três valores para divulgar aos clientes a probabilidade do código de exploração operacional, com base nas vulnerabilidades tratadas pelos boletins de segurança da Microsoft:

Avaliação do Índice de ExploraçãoDefinição curta
1Probabilidade de código de exploração consistente
2Probabilidade de código de exploração inconsistente
3Código de exploração operacional improvável


1 – Probabilidade de código de exploração consistente

Essa classificação significa que nossa análise mostrou que o código de exploração poderia ser criado de forma que um invasor pudesse explorar essa vulnerabilidade de forma consistente. Por exemplo, uma exploração poderia permitir a execução de código remoto do invasor repetidamente, de forma que o invasor poderia esperar os mesmos resultados. Isso o tornaria um alvo interessante para invasores e, portanto, seria maior a probabilidade de que o código de exploração fosse criado. Assim, os clientes que examinaram o boletim de segurança e determinaram sua aplicabilidade no seu ambiente poderiam tratar disso com alta prioridade.

2 – Probabilidade de código de exploração inconsistente

Essa classificação significa que nossa análise mostrou que o código de exploração poderia ser criado, mas provavelmente o invasor teria resultados inconsistentes, mesmo que visasse o produto afetado. Por exemplo, uma exploração poderia permitir a execução de código remoto, mas isso funcionaria apenas uma a cada dez, ou uma a cada 100 vezes, dependendo do estado do sistema visado e da qualidade do código de exploração. Um invasor pode melhorar a consistência desses resultados com um melhor entendimento e controle do ambiente visado, mas a natureza não confiável desse ataque o torna um alvo menos atraente para os invasores. Assim, provavelmente o código de exploração será criado, mas é improvável que os ataques sejam tão eficientes quanto outras vulnerabilidades que podem ser exploradas de forma mais consistente. Dessa forma, os clientes que examinaram o boletim de segurança e determinaram sua aplicabilidade em seus ambientes devem considerá-lo uma atualização de material e, ao estabelecer prioridades em relação a outras vulnerabilidades com alto grau de exploração, poderiam atribuir uma classificação inferior a ela em sua prioridade de implantação.

3 – Código de exploração operacional improvável

Essa classificação significa que nossa análise mostrou que o código de exploração que funciona com êxito provavelmente não será lançado. Isso significa que é possível que seja lançado um código de exploração que poderia disparar a vulnerabilidade e causar um comportamento anormal, mas é improvável que um invasor pudesse criar uma exploração que exercesse com êxito o impacto total da vulnerabilidade. Como, para serem úteis, as vulnerabilidades desse tipo exigiriam um investimento significativo dos invasores, o risco de que o código de exploração seja criado e usado é muito menor. Assim, os clientes que examinaram o boletim de segurança para determinar sua aplicabilidade em seus ambientes poderiam atribuir uma prioridade menor a essa atualização em relação às outras vulnerabilidades de um lançamento.

Seção de principais observações

As principais observações fornecidas na tabela contêm informações adicionais sobre a existência de alterações significativas na previsão de potencial de exploração para um produto ou sistema operacional específico, além de outras informações importantes referentes à capacidade de explorar aquela vulnerabilidade específica. No exemplo acima, o Windows 2000 corre mais risco que outros sistemas operacionais, de forma que os clientes devem considerar isso se estiverem priorizando seu lançamento por versão do sistema operacional ou do produto.

Termos e definições importantes

Código de exploração – Um programa de software ou código de exemplo que, quando executado contra um sistema vulnerável, usa a vulnerabilidade para falsificar a identidade do invasor, adulterar informações do usuário ou do sistema, negar a ação do invasor, divulgar informações do usuário ou do sistema, negar serviços a usuários válidos ou elevar os privilégios do invasor.

Código de exploração operacional – Código de exploração que pode fazer ocorrer o impacto de segurança máximo de uma vulnerabilidade. Por exemplo, se uma vulnerabilidade tiver um impacto de segurança de execução remota de código, o Código de exploração operacional poderia fazer ocorrer a execução remota do código ao ser executado contra um sistema-alvo.

Consistentemente passível de exploração – O nível do potencial de exploração de uma vulnerabilidade, de forma que o código de exploração que visa o sistema vulnerável é executado de forma confiável.

Inconsistentemente passível de exploração – O nível do potencial de exploração de uma vulnerabilidade, de forma que o código de exploração que visa o sistema vulnerável funciona apenas sob determinadas condições específicas, exige especialização e marcação de tempo sofisticada, ou tem resultados variados.

Disparar uma vulnerabilidade – Poder alcançar o código vulnerável, mas nem sempre conseguir atingir o impacto máximo. Por exemplo, talvez seja fácil disparar uma vulnerabilidade de execução remota de código, mas o efeito resultante pode ser apenas uma negação de serviço.

Perguntas freqüentes relacionadas ao Índice de Exploração

P: O que é o Índice de Exploração?

R: O Índice de Exploração da Microsoft fornece informações adicionais para ajudar os clientes a priorizar a implantação das atualizações de segurança mensais. Ele foi criado para fornecer aos clientes diretrizes sobre a probabilidade de uma exploração operacional, com base nas vulnerabilidades tratadas pelos boletins de segurança da Microsoft.

P: Por que a Microsoft criou o Índice de Exploração?

R: Os clientes solicitaram mais informações para ajudá-los a priorizar a implantação das atualizações mensais de segurança da Microsoft, solicitando especificamente detalhes sobre a probabilidade do código de exploração para as vulnerabilidades tratadas pelos boletins de segurança. Por meio de webcasts e chamadas de clientes, a Microsoft sempre respondeu a essa solicitação com uma descrição do código de exploração ou dos ataques conhecidos no momento do lançamento. O Índice de Exploração vai além, fornecendo detalhes sobre o nível de exploração que uma vulnerabilidade pode ter, e a probabilidade do código de exploração ser publicado no mês seguinte ao lançamento de um boletim de segurança.

P: Este sistema de classificação é realmente confiável?

R: Prever atividades no ecossistema de segurança sempre é difícil, mas há três motivos pelos quais este sistema deve ser confiável.

Primeiro: nos últimos anos, nos demos conta de que vários pesquisadores de segurança analisam as atualizações associadas com os boletins de segurança da Microsoft no dia em que eles são lançados, para criar e avaliar as proteções. Ao fazer isso, muitos desses pesquisadores também criam código de exploração para testar essas proteções. A metodologia usada para desenvolver esse código de exploração é semelhante àquela usada pela Microsoft para determinar a probabilidade do lançamento do código de exploração. A Microsoft analisa as próprias atualizações, a natureza da vulnerabilidade e as condições que devem ser atendidas para que uma exploração seja executada com êxito.

Segundo: nem todas as vulnerabilidades resolvidas por nossas atualizações de segurança resultam em código de exploração lançado. Na verdade, apenas 30% das vulnerabilidades resolvidas em boletins de segurança da Microsoft em 2006 e 2007 tiveram o código de exploração operacional lançado. Existem vários fatores sociais que podem determinar o lançamento do código de exploração, embora as diferenças técnicas de algumas vulnerabilidades tornem a exploração um desafio ainda maior. Por exemplo, a combinação de ASLR (Address Space Layout Randomization – Randomização de layout de espaço de endereço) com DEP (Prevenção de Execução de Dados) no Windows Vista torna algumas vulnerabilidades mais difíceis de explorar. Algumas delas também exigem que a memória dos sistemas estejam em um estado previsível para que o código de exploração funcione com êxito. Assim, a análise cuidadosa de cada vulnerabilidade, usando a metodologia mencionada acima, pode fornecer uma noção confiável da dificuldade de criar um código de exploração que funcionasse de forma consistente.

Por fim, também estamos estabelecendo parcerias com provedores de proteção por meio do Microsoft Active Protection Program e trabalhando com eles para ajudar a validar nossas previsões todos os meses, usando para isso uma abordagem de comunidade como uma forma de assegurar a precisão através do compartilhamento de informações.

P: Qual é a diferença entre ele e o sistema de Classificação de gravidade do boletim do MSRC?

R: O sistema de Classificação de gravidade do boletim do MSRC presume que a exploração será bem-sucedida. Para algumas vulnerabilidades, que têm um alto potencial de exploração, esse pressuposto pode ser verdadeiro somente quando um invasor dedicado investe muitos recursos para assegurar que seu ataque seja bem-sucedido. Independentemente da classificação de Gravidade do boletim ou do Índice de Exploração, a Microsoft sempre recomenda que os clientes implantem todas as atualizações aplicáveis e disponíveis; no entanto, essas informações de classificação podem auxiliar os clientes avançados na priorização de sua abordagem ao lançamento de cada mês.

P: O que acontece se uma classificação do Índice de Exploração estiver incorreta?

R: A capacidade de classificar a possível exploração de vulnerabilidades é uma ciência em desenvolvimento, sendo possível que novas técnicas para explorações em geral ou técnicas exclusivas específicas para uma vulnerabilidade sejam descobertas e possam alterar a classificação do Índice de Exploração. Contudo, o objetivo do Índice de Exploração é ajudar os clientes a priorizar essas atualizações para o lançamento mensal mais atual. Portanto, se houver informações que alterem uma avaliação lançada no primeiro mês de um lançamento de segurança, o MSRC atualizará o Índice de Exploração. Se forem disponibilizadas informações nos meses seguintes, depois que a maioria dos clientes já tiver decidido suas prioridades, o Índice de Exploração não será atualizado, pois ele não será mais útil para o cliente.

P: Qual a relação entre o Índice de Exploração e o CVSS e outros sistemas de classificação?

R: O Índice de Exploração é independente e não se relaciona com outros sistemas de classificação. Todavia, o MSRC é membro colaborador do CVSS (Common Vulnerability Scoring System), e a Microsoft compartilha sua experiência e os comentários de clientes para a criação e o lançamento do Índice de exploração com o grupo de trabalho, a fim de ajudar a garantir que o CVSS seja eficiente e possa ser acionado.

P: Ele avisa sobre ataques direcionados?

R: O próprio Índice de Exploração não avisa sobre como um invasor pode direcionar um ataque, mas ele pode ser útil para fornecer aos clientes uma visão das vulnerabilidades que poderiam ser usadas de forma mais destacada em ataques direcionados. Por exemplo, em ataques direcionados limitados, provavelmente o invasor escolherá vulnerabilidades com um alto potencial de exploração a fim de reduzir a possibilidade de descoberta do ataque. Portanto, os clientes preocupados com ataques direcionados podem usar o Índice de Exploração para priorizar essas atualizações e proteções para essas vulnerabilidades em suas avaliações de risco mensais.

A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site.

Deseja participar?