首月分析：漏洞可利用性指数

作者：Mike Reavey（微软安全响应中心总监）
发布日期：2008年11月12日
阅读时间：4分钟

我们刚刚发布了11月安全公告，这也标志着10月首次推出的漏洞可利用性指数（Exploitability Index）已运行满一个月。许多客户询问“效果如何？”根据10月的结果以及微软主动保护计划（MAPP）合作伙伴在发布前协助验证的反馈，目前进展顺利。

10月是一次大型发布，包含12个安全公告，修复了21个漏洞，其中一个是带外发布。

核心成功指标：我们的主要成功标准是确保指数评级不会低于漏洞在公开审查后的实际风险水平。这意味着客户不会因指数沟通不足而面临更高风险。好消息是，发布一个月后，未出现此类问题。这也意味着，我们评为最低等级的四个漏洞在首30天内未出现有效利用代码：

• MS08-058 - CVE-2008-3474 - Internet Explorer累积安全更新
• MS08-058 - CVE-2008-3476 - Internet Explorer累积安全更新
• MS08-061 - CVE-2008-2251 - Windows内核漏洞可能导致权限提升
• MS08-065 - CVE-2008-3479 - 消息队列漏洞可能导致远程代码执行

另有四个漏洞我们预测会公开出现一致且有效的利用代码（不包括CVE-2008-2947，该漏洞在公告发布时已公开），且预测准确：

• MS08-059 – CVE-2008-3466 – Host Integration Server RPC服务漏洞可能导致远程代码执行
• MS08-062 – CVE-2008-1446 – Windows互联网打印服务漏洞可能导致远程代码执行
• MS08-066 – CVE-2008-3464 – Microsoft辅助功能驱动程序漏洞可能导致权限提升
• MS08-067 – CVE-2008-4250 – 服务器服务漏洞可能导致远程代码执行（此为带外发布）

以上漏洞均在两周内公开出现有效利用代码。使用指数辅助部署决策的客户可提前预见此情况，优先部署这些更新。在缺乏指数提供额外分析层时，这些公告无特殊攻击可能性指示。

指数核心价值：指数虽无法100%准确，但目标是为客户提供有价值信息以辅助优先级决策。其余五个被评为“1级（可能出现一致利用代码）”的漏洞未公开出现有效利用代码。这看似预测错误，但我们认为这是积极信号。

原因分析：部分客户担心发布指数会通过观察环境改变威胁生态，即突出最可能被利用的问题会增加利用代码数量。尽管我们认为剩余七个漏洞仍可能出现利用代码，但事实未出现表明未对威胁环境产生显著负面影响。我们未误导客户降低对漏洞的关注度，反而增加的关注可能加速了部署保护，降低了漏洞吸引力。

我们将持续监控信息提供效果，并加强与社区互动以验证工作。首月数据和客户反馈表明，漏洞可利用性指数正成为客户的实用工具。

分享本文：
[Social] | [MSDN] | [Technet] | [del.icio.us] | [digg] | [Facebook] | [Live] | [reddit] | [technorati] | [yahoo]

本文内容“按原样”提供，无任何保证，不授予任何权利。

相关标签：黑帽大会、漏洞可利用性指数、微软主动保护计划（MAPP）、安全生态