[面向IT管理员] 了解漏洞利用的难易程度~利用可能性指标与缓解措施 | MSRC博客
微软安全响应中心
注意:此博客文章已发布超过一年。以下信息可能已过时。
微软每月第二个星期二(美国时间)发布定期安全更新,并在 Security Update Guide 门户网站上公布修复漏洞的概要。
有时,IT管理员会询问:“请告诉我这个漏洞的利用方法。”原因可能是希望在应用安全更新前考虑临时解决方案,或希望准确了解内容以防范利用。
出于安全原因,我们不会公开漏洞利用的具体步骤(例如概念验证代码)。所有可公开的信息都记录在 Security Update Guide 门户网站的各个漏洞信息页面中。即使是微软员工,除了处理该漏洞的最小必要团队外,也无法获取其他信息。
虽然无法透露漏洞细节,但为了帮助进行风险评估和应用安全更新前的风险降低措施,Security Update Guide 门户网站努力提供各种信息。例如,为了辅助风险评估,我们记录了漏洞的紧急程度(Severity Rating)、CVSS分数、以及安全更新之外的临时解决方案和风险降低措施。此外,还公开了漏洞所在的组件、修复对象模块、是否需要重启等信息,这些在应用安全更新时非常有用。
Security Update Guide 门户网站允许搜索所有公开漏洞信息,或下载为Excel文件。还可以通过PowerShell或API获取数据,实现高效管理。(参考:尝试使用安全更新指南(Security Update Guide))
现实风险评估参考利用可能性指标
在Security Update Guide提供的各种信息中,许多人可能已经使用了漏洞紧急程度或CVSS分数,但请务必关注“利用可能性指标”(Microsoft Exploitability Index)。
利用可能性指标是微软独家提供的指标,显示了漏洞利用代码的开发难度以及利用代码攻击成功的可能性。微软的安全专业工程师团队从以下角度进行综合判断:
- 开发漏洞利用攻击代码(Exploit Code)的难易程度
- 同类漏洞被利用的历史实例
- 攻击者偏好的漏洞利用趋势
- 漏洞利用攻击代码执行后攻击成功的可能性
- 漏洞利用攻击代码执行后攻击者可能获得的内容
与基于漏洞一般技术性质评估的紧急程度或CVSS不同,利用可能性指标基于每个漏洞的利用步骤,以4个等级评估对实际系统的影响。
| 评估值 | 概要 |
|---|---|
| 0 – Exploitation Detected | 表示已确认存在利用该漏洞的攻击。建议作为最高优先级的安全更新立即应用。 |
| 1 – Exploitation More Likely | 表示攻击者很可能开发出高成功率的漏洞利用代码。此外,过去有同类漏洞被利用的案例,表明攻击者偏好利用此类漏洞。建议作为高优先级安全更新立即应用。 |
| 2 – Exploitation Less Likely | 表示虽然可以开发漏洞利用攻击代码,但需要高级知识,和/或需要特定执行时机、特定环境配置等,难以创建高成功率的攻击代码。此外,未观察到同类漏洞被广泛利用的趋势,表明攻击者不偏好利用。建议应用安全更新,但如果需要优先处理其他紧急更新,可以降低优先级,在组织内选择合适时机应用。 |
| 3 – Exploitation Unlikely | 表示在实际攻击中难以开发漏洞利用攻击代码。虽然可能存在开发攻击代码的可能性,但攻击者实现目标的成果有限。因此,判断在实际系统环境中的风险较低。建议应用安全更新,但如果需要优先处理其他安全更新,可以降低优先级,在组织内选择合适时机应用。 |
同一漏洞的利用难易程度因产品版本而异
一个漏洞经常影响多个产品版本。例如,存在于Windows 10中的漏洞通常也存在于之前的Windows 8或Windows 7中。
利用可能性指标分别计算最新版本和之前版本的评估值。这是因为即使同一漏洞,不同产品版本在实际攻击发生时的 impact 可能不同。因此,某些漏洞在最新版本和之前版本中,利用可能性指标的值可能不同。这主要是因为新产品搭载了更多“缓解措施”技术,即使存在漏洞,也使攻击更难成功。
什么是缓解措施?
安全技术日新月异,新的攻击手法不断涌现。因此,产品发布后可能会发现基于开发时未知技术的漏洞,需要应对。为此,微软不仅努力在产品发布时减少漏洞,还大力开发“缓解措施”技术,即使产品存在漏洞,也使利用漏洞的攻击更难成功。
针对漏洞的对策首先是“应用安全更新”。通过修复程序中存在的漏洞,消除可被利用的漏洞,攻击或利用无法成功。
其他对策包括“应用缓解措施”。即使应用“缓解措施”,漏洞本身仍然存在,但通过预先阻止漏洞利用手法,旨在使攻击失败并防止损害。此外,缓解措施的实施使攻击者更难利用漏洞,提高了攻击代码的开发成本。
以前,缓解措施通过免费工具EMET额外提供,但从Windows 10开始,由于缓解措施的重要性增加,已作为标准功能实现。(参考:EMET支持结束 - 迁移至Windows Defender Exploitation Guard)
这些缓解措施有助于防御在修复漏洞的更新程序提供前进行的攻击,即所谓的零日攻击。实际上,在Windows 7中,也有零日攻击未成功运行的实例。
在企业环境中,即使安全更新已开始提供,由于应用所需的验证等时间,期间的风险管理可能令人困扰。通过使用搭载更完善缓解措施的更新产品,可以降低此类风险。(参考:等待补丁已过时!Windows 10最新安全技术与零日攻击攻防实例)
微软致力于打造更安全可靠的产品,并为IT管理员创造更易于操作的环境。特别是在企业环境中,把握所用系统的漏洞、评估风险、应用安全更新需要大量 effort。通过完善本次介绍的Security Update Guide门户网站、利用可能性指标、以及新产品搭载的缓解措施等,我们将持续打造更易于应对漏洞和应用安全更新的环境。请大家务必尝试利用这些信息。
微软安全响应团队安全程序经理 垣内由梨香
相关标签
利用可能性指标、安全信息、安全更新、安全更新指南、缓解措施指南