Por Alejandro Leal

A partir del mes de octubre Microsoft incorporó la sección “Índice de vulnerabilidades” o “Exploitability Index” en inglés al Resumen de boletines de seguridad emitido el segundo martes de cada mes. Éste valor proporciona información adicional que nos permite definir sus prioridades para la aplicación de las actualizaciones de seguridad en los equipos.

¿Cuál es el significado de este valor?

El Índice de vulnerabilidad, clasificado en tres valores, indica la disponibilidad o facilidad de crear un código funcional que explote la vulnerabilidad notificada. Las clasificaciones para éste índice son las siguientes:

  • 1 - Bastante probabilidad de código que aproveche la vulnerabilidad
  • 2 - Poca probabilidad de código que aproveche la vulnerabilidad
  • 3 - Improbabilidad de código funcional que aproveche la vulnerabilidad

Valores del Índice de Explotación

1 - Bastante probabilidad de código que aproveche la vulnerabilidad

Ésta clasificación indica que en los análisis realizados por Microsoft es posible realizar un exploit, que de ser utilizado por un atacante, éste obtendrá resultados consistentes al explotar la vulnerabilidad. Por ejemplo, un atacante podría realizar un exploit que le permita ejecutar código remoto, si el atacante ejecutara el exploit sobre un equipo puede esperar que los resultados siempre sean los mismos. Este valor se presenta como un atractivo para los intrusos y es altamente probable que el exploit se desarrolle, por lo que los usuarios deberían priorizar estas actualizaciones siempre que sean aplicables a su entorno.

2 - Poca probabilidad de código que aproveche la vulnerabilidad

Ésta clasificación indica que en los análisis realizados por Microsoft es posible realizar un exploit, sin embargo un atacante experimentaría resultados inconsistentes, aún cuando la versión del producto atacado sea vulnerable. Este comportamiento provoca que estas vulnerabilidades sean menos atractivas para los intrusos, sin embargo es posible la creación de un exploit, por lo que es importante que los usuarios apliquen las actualizaciones correspondientes a su entorno, sin embargo su aplicación es menos prioritaria que las mencionadas en la sección anterior.

3 - Improbabilidad de código funcional que aproveche la vulnerabilidad

Esta clasificación indica que en los análisis realizados por Microsoft el código exploit que aproveche esta vulnerabilidad es poco probable que sea liberado. Es decir, es posible realizar un exploit que aproveche la vulnerabilidad y que cause un comportamiento indeseado, pero es poco probable que un atacante pueda realizar un exploit que aproveche por completo el impacto de la vulnerabilidad. Además de ello, la realización del código exploit requerirá gran inversión de tiempo por parte del atacante para obtener un código funcional. De modo que los usuarios deberán aplicar las actualizaciones correspondientes pero con menor prioridad que las dos clasificaciones anteriores.

Nota: El término “consistencia” se refiere a las probabilidades que funcione bajo la mayoría de las circunstancias y la mayor parte de las veces.

Estructura del Índice de Explotación

Tomemos como ejemplo la vulnerabilidad MS08-067 del boletín de Octubre:

Identificador del boletín

Título del boletín

Identificador CVE

Evaluación de índice de vulnerabilidades

Notas clave

MS08-067

Una vulnerabilidad en el servicio de servidor podría permitir la ejecución remota de código (958644)

CVE-2008-4250

1 - Bastante probabilidad de código que aproveche la vulnerabilidad

Se ha detectado código coherente que aprovecha la vulnerabilidad en ataques limitados y dirigidos que afectan a Windows XP. Aunque este servicio está habilitado de forma predeterminada en todas las plataformas afectadas, la vulnerabilidad se puede aprovechar con más probabilidad en Microsoft Windows 2000, Windows XP y Windows Server 2003. En Windows Vista, Windows Server 2008 y Windows 7 Beta, estas plataformas requieren autenticación, e incluso después de la autenticación resulta más difícil aprovechar la vulnerabilidad debido a las mejoras de ASLR y DEP.

 

Cada una de las secciones indica lo siguiente:

  • Identificador de Boletín: Se refiere al boletín de seguridad que describe a las vulnerabilidades y su método de actualización.
  • Título de boletín: Corresponde al título que Microsoft asignó al boletín de seguridad.
  • CVE-ID: Identificador para la vulnerabilidad.
  • Evaluación de índice de Vulnerabilidad
  • Notas clave: Observaciones que indican a qué sistemas el exploit puede afectan en mayor o menor proporción.

Para más información (en Inglés) visiten el anuncio oficial del Microsoft Exploitability Index y el enlace Understanding How to Use the Microsoft Exploitability Index