Índice de Exploração da Microsoft

O Índice de Exploração da Microsoft foi projetado para fornecer informações adicionais a fim de ajudar os clientes a priorizar da melhor forma a implantação das atualizações de segurança. Esse índice fornece aos clientes orientações sobre a probabilidade de um código de exploração em funcionamento estar sendo desenvolvido para as vulnerabilidades às quais se aplicam as atualizações de segurança da Microsoft.

Porque a Microsoft Desenvolveu o Índice de Exploração?

Através dos boletins de segurança, bem como durante nosso Webcast mensal sobre boletins de segurança, são fornecidas aos clientes informações sobre o código de verificação de conceito, o código de exploração ou os ataques ativos relacionados às atualizações de segurança no momento do lançamento.

A Microsoft desenvolveu o Índice de Exploração em resposta às solicitações dos clientes por informações adicionais a fim de avaliar os riscos de forma mais detalhada. O índice ajuda os clientes a priorizar a implantação das atualizações de segurança da Microsoft oferecendo detalhes sobre a possibilidade de o código de exploração em funcionamento ser liberado após o lançamento das atualizações de segurança.

Como Funciona o Índice de Exploração?

A Microsoft avalia a potencial exploração das vulnerabilidades associadas a uma atualização de segurança e depois publica essas informações de exploração como parte de um resumo mensal do boletim de segurança da Microsoft.

Essas informações incluem a identificação do boletim, seu título, a identificação da CPU associada à vulnerabilidade específica, a Avaliação do Índice de Exploração e as anotações principais.

Por exemplo, a tabela de informações de Exploração do lançamento de atualizações de segurança do boletim de Abril de 2008 é a seguinte:

Identificação do Boletim Título do Boletim ID CVE Avaliação do Índice de Exploração Principais Observações
MS08-021 Vulnerabilidades no GDI Pode Permitir a Execução Remota do Código (948590) CVE-2008-1087 1 [Probabilidade de código de exploração constante] Probabilidade Alta para o Windows 2000 Service Pack 4 e Média para outros sistemas operacionais

O Índice de Exploração usa um dos três valores para informar aos clientes sobre probabilidade de código de exploração em funcionamento, baseado nas vulnerabilidades, às quais se aplicam os boletins de segurança da Microsoft:

Avaliação do Índice de Exploração Breve Definição
1 Probabilidade de código de exploração constante
2 Probabilidade de código de exploração inconstante
3 Improbabilidade de código de exploração em funcionamento
  1. Probabilidade de Código de Exploração Constante

    De acordo com esta classificação nossa análise mostrou que é possível criar um código de exploração para que o invasor possa explorar sistematicamente essa vulnerabilidade. Por exemplo, uma exploração poderia ocasionar repetidas execuções remotas do código desse invasor, de tal maneira que ele aguarde constantemente pelos mesmos resultados. Isso tornaria essa vulnerabilidade um alvo atraente para os invasores, aumentando a probabilidade de criação do código de exploração. Assim, os clientes que revisaram o boletim de segurança e determinaram a aplicabilidade dele para seus ambientes poderiam tratá-la com uma prioridade mais alta.

  2. Probabilidade de Código de Exploração Inconstante

    De acordo com essa classificação nossa análise mostrou que o código de exploração pode ser criado, mas o invasor provavelmente irá experimentar resultados inconstantes, mesmo tendo como alvo o produto afetado. Por exemplo, uma exploração poderia induzir a execução remota do código, mas talvez funcione somente uma vez em dez ou em cem vezes, dependendo do estado do sistema a que se destina e da qualidade do código de exploração. Embora o invasor consiga aumentar a consistência dos seus resultados através de um melhor entendimento e controle do ambiente de destino, a natureza duvidosa desse ataque o torna um alvo menos atraente. Por isso, o código de exploração será provavelmente criado, mas é improvável que a eficácia dos ataques seja maior se comparada a outras vulnerabilidades que podem ser exploradas de forma mais sistemática. Assim, os clientes que revisaram o boletim de segurança e determinaram a aplicabilidade dele aos ambientes devem considerar essa atualização importante, porém caso a priorização seja em relação a outras vulnerabilidades exploráveis, a classificação nas prioridades de implantação pode ser inferior.

  3. Improbabilidade de Código de Exploração em Funcionamento

    De acordo com essa classificação nossa análise mostrou que o código de exploração com êxito de funcionamento provavelmente não será liberado. Isso significa que o código de exploração que será liberado pode desencadear uma vulnerabilidade e ocasionar um comportamento anormal, mas é pouco provável que o invasor consiga criar uma exploração que exerça com êxito um impacto total sobre a vulnerabilidade. Sabendo que vulnerabilidades desse tipo requerem um investimento significativo por parte dos invasores para que possam ser úteis, o risco do código de exploração ser criado e usado é bem menor. Por isso, os clientes que revisaram o boletim de segurança a fim de determinar a aplicabilidade dele aos seus ambientes podem priorizar essa atualização abaixo de outras vulnerabilidades de um lançamento.

Seção de Observações Principais

As Observações Principais fornecidas na tabela contêm informações adicionais sobre a existência de alterações significativas na previsão de exploração de determinado produto ou sistema operacional, bem como outras informações importantes relacionadas à capacidade de explorar essa vulnerabilidade específica. No exemplo acima, o Windows 2000 é o sistema operacional sob maior risco, de modo que os clientes devem levar isso em conta ao priorizarem o seu lançamento por sistema operacional ou versão do produto.

Termos e Definições Importantes

Código de Exploração – Programa de software ou código de exemplo que ao ser executado em um sistema vulnerável usa a vulnerabilidade para: falsificar a identidade do invasor ou rejeitar as ações dele, violar ou divulgar informações de usuário ou sistema, negar serviços a usuários válidos ou aumentar os privilégios do invasor.

Código de Exploração em Funcionamento – O código de exploração capaz de gerar o maior impacto de segurança para uma vulnerabilidade Por exemplo, se uma vulnerabilidade tivesse um impacto de segurança de execução remota de código, o Código de Exploração em Funcionamento faria com que a execução ocorresse durante a execução do sistema de destino.

Capacidade de Aproveitamento Constante – O nível de Exploração de uma vulnerabilidade de tal forma que o código de exploração que tem como alvo os sistemas vulneráveis tenha um desempenho confiável.

Utilizada de Forma Constante – O nível de aproveitamento de uma vulnerabilidade tal como o código de exploração que tem como alvo os sistemas vulneráveis, funciona somente sob certas condições, requer especialização e um cronograma complexo ou possui resultados diversos.

Desencadear uma Vulnerabilidade – Conseguir o código de vulnerabilidade, mas nem sempre o impacto máximo. Por exemplo, pode ser fácil desencadear uma vulnerabilidade de execução remota de código, porém o efeito resultante pode ser somente a negação de serviço.

Perguntas Freqüentes Relacionadas ao Índice de Exploração

P: O que é Índice de Exploração da Microsoft?

R: O Índice de Exploração da Microsoft é um índice que fornece informações adicionais a fim de ajudar os clientes a priorizar a implantação das atualizações de segurança mensais. O índice foi projetado para fornecer aos clientes orientação em relação à possibilidade de exploração em funcionamento baseada nas vulnerabilidades de segurança às quais se aplicam os boletins de segurança da Microsoft.

Porque a Microsoft criou o Índice de Exploração?

R: Os clientes pediram mais informações para ajudá-los a priorizar a implantação das atualizações de segurança mensais da Microsoft, solicitando detalhes específicos sobre a probabilidade (de existência) de códigos de exploração para as vulnerabilidades atendidas nos boletins de segurança. A Microsoft sempre respondeu a estas solicitações feitas através de Webcasts e telefonemas dos clientes, com a descrição de códigos de exploração ou ataques conhecidos no momento do lançamento. O Índice de Exploração vai além, fornecendo detalhes sobre quanto uma vulnerabilidade pode ser explorada e a probabilidade do código de exploração ser publicado no mês posterior ao lançamento do boletim de segurança.

Este sistema de classificação é realmente confiável?

R: Apesar de ser sempre complicado prever a atividade de um ecossistema de segurança, esse sistema deve ser considerado seguro por três razões.

Em primeiro lugar, nos últimos anos nós percebemos que muitos pesquisadores de segurança analisam as atualizações associadas aos boletins de segurança da Microsoft no dia em que são lançadas, para criar e avaliar as proteções. Dessa forma, muitos deles também criam o código de exploração para testar essas proteções. A metodologia usada para desenvolvê-lo é semelhante àquela que a Microsoft usa para determinar a probabilidade de liberação de código de exploração. A Microsoft analisa as atualizações, a natureza da vulnerabilidade e as condições que devem ser atendidas para que uma exploração seja executada de forma bem-sucedida.

Em segundo lugar, nem todas as vulnerabilidades solucionadas pelas nossas atualizações de segurança resultam na liberação de código explorado. Na verdade, somente 30% das vulnerabilidades solucionadas nos boletins de segurança da Microsoft em 2006 e 2007 tiveram seu código de exploração em funcionamento liberado. Diversos fatores sociais podem determinar a liberação de código de exploração, contudo as diferenças de algumas vulnerabilidades tornam a exploração ainda mais difícil. Por exemplo: a combinação do ASLR (address space layout randomization) e do DEP (data execution prevention) no Windows Vista torna algumas vulnerabilidades mais difíceis de serem exploradas. Algumas também necessitam que os sistemas possuam memória em estado previsível para que o código explorado funcione com êxito. Portanto, a análise cuidadosa de cada vulnerabilidade usando a metodologia acima mencionada pode fornecer um insight confiável das dificuldades de criar um código de exploração que possa funcionar de maneira constante.

Finalmente, nós também trabalhamos em parceria com os provedores de proteção através do Microsoft Active Protections Program na validação das previsões todos os meses e, assim, usamos uma abordagem comunitária como uma forma de garantir a precisão pelo intercâmbio de informações.

Qual a diferença entre o Índice de Exploração e o sistema de Classificação de Severidade de Boletim do MSRC?

R: O sistema de Classificação de Severidade de Boletim do MSRC supõe que a exploração será bem-sucedida. Para algumas vulnerabilidades em que a exploração é alta, existe uma chance grande de essa suposição ser verdadeira para diversos grupos de invasores. Para as vulnerabilidades com baixa exploração, essa suposição talvez seja verdadeira se o invasor usar inúmeros recursos para garantir o êxito do ataque. Independentemente da Classificação de Severidade de Boletim ou de Índice de Exploração, a Microsoft sempre recomenda que os clientes implantem todas as atualizações disponíveis e aplicáveis. Contudo, essas informações de classificação podem ajudar os clientes esclarecidos na priorização da abordagem de liberação mensal.

O que acontece se uma classificação de Índice de Exploração estiver incorreta?

R: A capacidade de classificar a potencial exploração das vulnerabilidades é uma ciência em desenvolvimento, de modo que novas técnicas de exploração gerais ou específicas a uma vulnerabilidade podem ser descobertas, alterando a classificação do Índice de exploração. Porém, o objetivo do Índice de Exploração é ajudar os clientes a priorizar as atualizações para o lançamento mais recente do mês. Portanto, se existirem informações que possam alterar a avaliação liberada no primeiro mês de um lançamento de segurança, o MSRC atualizará o Índice de Exploração. Se as informações forem disponibilizadas nos meses seguintes, depois que a maioria dos clientes tomou as decisões de priorização, o Índice de Exploração não será atualizado já que não é mais útil ao cliente.

Qual a relação entre o Índice de Exploração e o CVSS (Common Vulnerability Scoring System) e outros sistemas de classificação?

R: O Índice de Exploração é diferente e não tem relação com outros sistemas de classificação. Contudo, o MSRC é um membro contribuinte do CVSS e a Microsoft compartilha sua experiência e comentários de clientes para a criação e liberação do Índice de Exploração com o grupo de trabalho a fim de assegurar que o CVSS seja eficaz e acionável.

Ele previne contra ataques direcionados?

R: Embora o Índice de Exploração não avise de que forma o invasor vai atacar, ele pode ser útil ao fornecer ao cliente uma visão de quais vulnerabilidades podem ser usadas de forma mais proeminente nos ataques direcionados. Por exemplo, nos ataques direcionados limitados, o invasor provavelmente escolherá as vulnerabilidades de Exploração alta para reduzir a capacidade de detecção do ataque. Por isso, os clientes que se preocupam com os ataques direcionados podem usar o Índice de Exploração a fim de priorizar as atualizações e as proteções dessas vulnerabilidades nas suas avaliações de risco mensais.