Microsoft 弱點入侵指數發行日期:2008 年 10 月 10 日 | 更新日期:2009 年 2 月 10 日 Microsoft 弱點入侵指數的設計是為了提供附加資訊來協助客戶,方便他們劃分部署 Microsoft 安全性更新的優先順序。此指數針對在 Microsoft 安全性更新發佈的頭 30 天內,該安全性更新所解決的弱點引發有作用之攻擊程式碼的可能性,就此提供客戶相關指引。 Microsoft 為何推出弱點入侵指數透過 Microsoft 資訊安全公告還有每月的資訊安全公告網路廣播,客戶能取得有關概念驗證程式碼、攻擊程式碼或安全性更新發佈時與其相關的實際攻擊等方面的資訊。 Microsoft 為了回應客戶希望能獲得額外資訊以便更深入評估風險的要求,於是推出了弱點入侵指數。此指數針對安全性更新發佈之後出現有作用之攻擊程式碼的可能性提供詳細資訊,以協助客戶劃分部署 Microsoft 安全性更新的優先順序。 弱點入侵指數的運作方式Microsoft 會評估與 Microsoft 安全性更新相關之弱點的潛在入侵性,接著在每月的 Microsoft 資訊安全公告摘要中發佈入侵性資訊。如果弱點入侵指數評估在前三十天內保證會有所變更,則 Microsoft 將在公告摘要中改變評估內容,並透過技術安全性通知來通知客戶。張貼符合現有入侵性資訊的攻擊程式碼時,並不會更新公告摘要中的評估。 這些入侵性資訊包括公告識別碼、該公告的公告標題、與特定安全性弱點相關的 CVE 識別碼、弱點入侵指數評估以及重點提示。 例如,針對 2008 年 4 月資訊安全公告安全性更新的發佈公告提供的入侵性資訊表如下:
此分級表示我們的分析結果顯示,攻擊者可能會連續利用該弱點來建立攻擊程式碼。例如,利用安全性漏洞便能一再從遠端執行該攻擊者的程式碼,而使得攻擊者持續預期相同的結果。這讓該漏洞變成吸引攻擊者的目標,而更有可能建立攻擊程式碼。也就是說,當客戶閱讀資訊安全公告並判斷該內容在客戶環境內的適用程度時,可將這項資訊視為最高優先。 2 – 可能引發不一致的攻擊程式碼 此分級表示我們的分析結果顯示,有可能建立攻擊程式碼,但是攻擊者即使鎖定受影響的產品,仍然可能遇到不一致的結果。例如,利用安全性漏洞能夠從遠端執行程式碼,但 10 次中可能只有 1 次成功,或是 100 次中成功 1 次,端視被鎖定系統的狀態以及攻擊程式碼的優劣而定。雖然攻擊者可以透過加強對目標環境的瞭解與控制來提高攻擊結果的一致性,但是這類攻擊的不穩定性,使得攻擊者對此目標的攻擊意願較低。因此,雖有可能建立攻擊程式碼,但是這類攻擊的成效不如其他更一致的可利用弱點。也就是說,當客戶閱讀資訊安全公告並判斷該內容在客戶環境內的適用程度時,應該將這項資訊視為資料更新,但是如果要在部署優先順序中劃分與其他入侵性高的弱點的優先順序時,可以將其分級成較低優先。 3 – 不太可能引發有作用之攻擊程式碼 此分級表示我們的分析結果顯示,不太可能出現成功有效的攻擊程式碼。這意味者也許會出現觸發弱點並造成異常行為的攻擊程式碼,但是攻擊者不太可能能夠建立安全性漏洞,成功利用弱點徹底造成衝擊。由於攻擊者必須耗費大量心力才能利用此類型的弱點,建立並利用攻擊程式碼的風險就很低。因此,當客戶閱讀資訊安全公告並判斷該內容在客戶環境內的適用程度時,可以將此更新的優先順序排定為低於發佈的其他弱點。 重要提示部分表格中的重要提示包含特定產品或作業系統的入侵性預測是否有重大改變的補充資訊,以及關於利用該特定弱點之能力的其他重要資訊。在上述範例中,Windows 2000 受到攻擊的風險比其他作業系統更高,因此當客戶根據作業系統或產品版本來排定優先順序時,應該將此列入考量。 重要的名詞和定義攻擊程式碼 (Exploit Code) – 對易受入侵的系統執行這種軟體程式或範例程式碼時,它會利用弱點來偽裝攻擊者身分識別、竄改使用者或系統資訊、駁斥攻擊者行動、揭露使用者或系統資訊、對有效使用者拒絕服務,或是提高攻擊者的權限。 有作用之攻擊程式碼 (Functioning Exploit Code) – 此攻擊程式碼能夠針對弱點發揮最大的安全性威脅。例如,若是弱點具有遠端執行程式碼的安全性衝擊,在目標系統執行時,有作用之攻擊程式碼就可以導致遠端執行程式碼。 一致的入侵性 (Consistently Exploitable) – 弱點的入侵性等級使得鎖定易受入侵之系統的攻擊程式碼可確實執行。 不一致的入侵性 (Inconsistently Exploitable) – 弱點的入侵性等級使得鎖定易受入侵之系統的攻擊程式碼只有在特定情況下可行,而且需要掌握專業知識與精準的時機,否則會產生不同的攻擊結果。 觸發弱點 (Trigger a Vulnerability) – 能夠進入易受入侵的程式碼,但是不一定能夠達到最大衝擊力。例如,觸發遠端執行程式碼弱點可能很簡單,但也許只會產生拒絕服務的效果。 與弱點入侵指數相關的常見問題集 (FAQ)問:什麼是 Microsoft 弱點入侵指數? 答:Microsoft 弱點入侵指數包含額外資訊來協助客戶劃分部署每月安全性更新的優先順序。此指數的用意在於根據 Microsoft 資訊安全公告發佈的各個弱點,提供客戶可能引發有作用之攻擊的相關指引。 問:Microsoft 為何設立弱點入侵指數? 答:客戶希望有更多資訊以便劃分部署每月 Microsoft 安全性更新的優先順序,特別要求就資訊安全公告中解決的弱點引發攻擊程式碼的可能性提供詳細資料。透過網路廣播和客戶來電,Microsoft 總是以說明發佈時的已知攻擊程式碼或攻擊來應答。但是弱點入侵指數的內容不只如此,它所提供的詳細資料還包括弱點的入侵性程度,以及在資訊安全公告發佈後的一個月內,出現攻擊程式碼的可能性有多高。 問:這是一套真正可靠的分級系統嗎? 答:預測安全性生態系統內的活動向來很困難,但是有三項理由可以證明此系統應該很可靠。 首先,過去幾年來我們了解到許多資訊安全研究員會在 Microsoft 資訊安全公告的相關更新發佈的當日開始分析,以便建立並評估保護措施。在進行過程中,很多研究員也會建立攻擊程式碼來測試這些保護措施。開發此攻擊程式碼所採用的方法論與 Microsoft 用來判斷攻擊程式碼發佈可能性的方法很類似。Microsoft 會分析更新本身、弱點的性質,以及成功執行攻擊的必備條件。 其次,並非我們安全性更新解決的所有弱點都會導致攻擊程式碼。事實上,在 2006 年與 2007 年 Microsoft 資訊安全公告所解決的弱點中,只有 30% 產生有作用之攻擊程式碼。雖然有許多社會因素會決定攻擊程式碼的發佈,但是某些安全性弱點中的技術差異會使得攻擊行動充滿挑戰。例如,Windows Vista 結合位址空間配置隨機載入 (ASLR) 與資料執行防止 (DEP),使得攻擊者更難利用部分弱點。有些弱點也需要系統的記憶體處於可預測的狀態,攻擊程式碼才能順利執行。因此,使用上述的方法論仔細分析每個弱點,就能確實了解建立產生一致性效果之攻擊程式碼的困難性。 最後,我們也藉由 Microsoft 主動保護計劃 (Microsoft Active Protections Program) 與保護提供者合作,一同驗證 Microsoft 的每月預測,因此我們是使用社群途徑來確保資訊共用的準確性更高。 問:這與 MSRC 公告嚴重性分級系統有什麼不同? 答:MSRC 公告嚴重性分級 (MSRC Bulletin Severity Rating) 是假設攻擊行動會成功。對於入侵性高的某些弱點來說,這項假設在廣大的攻擊者中很可能成真。至於其他入侵性低的弱點,除非攻擊者一心一意投入大量資源以確保攻擊成功,否則這項假設並不成立。不管公告嚴重性或弱點入侵指數分級,Microsoft 總是會建議客戶部署所有適合且可用的更新;不過,此分級資訊能夠幫助在行的客戶排定處理每月發佈更新的優先順序。 問:如果弱點入侵指數分級不正確,會發生什麼事? 答:將弱點被利用的可能性加以分級是一項正在發展中的科學,因此發現全新的通用攻擊技巧或是弱點特定的獨特技巧而改變弱點入侵指數分級不無可能。然而,弱點入侵指數的目的是協助客戶劃分最新月份發佈之更新的優先順序。因此,如果出現任何資訊會改變安全性發佈第一個月發表的評估內容,MSRC 將更新弱點入侵指數。如果在後續月份出現這類資訊,此時客戶已經做出優先順序的決定,弱點入侵指數便不再據此更新,因為客戶已經不需要此資訊。 問:弱點入侵指數與 CVSS 及其他分級系統有何關係? 答:弱點入侵指數是獨立的,與其他分級系統並不相干。不過,MSRC 是通用安全性弱點評分系統 (Common Vulnerability Scoring System,CVSS) 中貢獻良多的成員,而且 Microsoft 會與工作小組分享建置和發佈弱點入侵指數方面的經驗及客戶意見,以確保 CVSS 的效用與可行性。 問:這是否會針對標靶性攻擊提出警告? 答:弱點入侵指數本身並不會針對攻擊者可能如何鎖定目標進行攻擊來提出警告,但是能協助客戶審視標靶性攻擊中主要會利用哪些弱點。例如,在限定的標靶性攻擊中,攻擊者最有可能選擇入侵性高的弱點,以便降低攻擊被發現的機率。因此,關心標靶性攻擊的客戶可以使用弱點入侵指數,在他們每月的風險評估中排定這些弱點的更新與保護優先順序。 |
.png){kind=spacer}