hit counter
Black Hat 2008: Microsoft Exploitability Index - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Black Hat 2008: Microsoft Exploitability Index

Black Hat 2008: Microsoft Exploitability Index

  • Comments 3
  • Likes

La parola che molti clienti diranno alla vista di questo annuncio è: finalmente! L'attività di security advisoring che io e il mio team Premier Center for Security (PCfS) abbiamo da sempre realizzato in corrispondenza del rilascio dei bollettini di sicurezza Microsoft è stata quella di contestualizzare l'analisi di rischio generica riportata dal bollettino rispetto allo scenario di infrastruttura e applicativo dello specifico cliente. In questo ambito, l'esigenza maggiormente espressa da tutti i clienti è sempre stata quella di poter capire quali patch installare con la massima urgenza e quali poter installare con più tranquillità (e addirittura se ve ne fosse qualcuna da poter non installare...), tipicamente chiedendoci quale vulnerabilità potesse essere più probabilmente sfruttabile per un attacco.

Proprio per indirizzare questa necessità avevo ideato le matrici sinottiche di analisi delle vulnerabilità (quelle colorate che fornisco ad ogni rilascio di bollettini): esplicitando una serie di caratteristiche delle singole vulnerabilità (come spiegato dal mio primo post di teoria sull'analisi di rischio) era possibile fare delle stime sulla effettiva gravità di una vulnerabilità, confrontandola con il rischio massimo rappresentato dalla possibilità di sfruttamento tramite worm. L'efficacia di questo approccio e il riscontro crescente dei clienti su queste necessità ha portato Microsoft ad migliorare via via le informazioni sulla sfruttabilità delle singole vulnerabilità: ad un certo punto sono state aggiunte le indicazioni se la vulnerabilità era già nota pubblicamente prima del rilascio del bollettino e se si era a conoscenza di Proof-of-Concept (PoC) e/o exploit che stessero già sfruttando la vulnerabilità per attacchi.

L'annuncio di ieri è la continuazione ideale di questo sforzo per aiutare i clienti a valutare la priorità con cui affrettarsi all'aggiornamento dei sistemi: il Microsoft Exploitability Index sarà un indicatore associato ad ogni vulnerabilità per dare una idea di quanto sia probabile la realizzazione di un exploit funzionante e consistente nella sua esecuzione. Esso potrà rappresentare 3 valori distinti:

  • Consistent Exploit Code Likely: (una sorta di codice ROSSO)
    • Possibilità di realizzare un exploit ben funzionante:
    • L'exploit funziona in modo consistente:
    • quindi:
      • interesse per la vulnerabilità da parte di hacker: Alto
      • Probabilità di veder realizzato un exploit: Alta
      • Urgenza di aggiornamento: Massima
  • Inconsistent Exploit Code Likely: (una sorta di codice ARANCIO)
    • Possibilità di realizzare un exploit ben funzionante:
    • L'exploit funziona in modo consistente: No
    • quindi:
      • interesse per la vulnerabilità da parte di hacker: Medio
      • Probabilità di veder realizzato un exploit: Media
      • Urgenza di aggiornamento: Media
  • Functioning Exploit Code Unlikely: (una sorta di codice GIALLO) 
    • Possibilità di realizzare un exploit ben funzionante: No (Nota 1)
    • L'exploit funziona in modo consistente: No
    • quindi:
      • interesse per la vulnerabilità da parte di hacker: Basso
      • Probabilità di veder realizzato un exploit: Bassa
      • Urgenza di aggiornamento: Normale

Nota 1: più precisamente questo vuol dire che si può comunque creare un exploit che possa causare un comportamento anormale del sistema, ma è improbabile che possa sfruttare il pieno impatto che la vulnerabilità espone.

A questo punto una precisazione è d'obbligo: come potete notare, l'indicazione dell'urgenza di aggiornamento nell'ultimo caso, quello meno rischioso, è Normale (non è Nulla/Assente/Rinviabile a data da definirsi...). Il messaggio che vorrei passarvi è quello che avevo fornito addirittura nel mio 3° post: Le patch di sicurezza si mettono TUTTE! 

Questo nuovo "Microsoft Exploitability Index" sarà operativo dal rilascio di bollettini di ottobre 2008, e prevederà anche la presenza di Key Notes in corrispondenza di ogni vulnerabilità, per aggiungere eventuali dettagli a questo indice.

Altri post/risorse correlate:

Share this post :
Comments
Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment