Microsoft está siguiendo una nueva política con la que intenta mejorar
sus boletines de seguridad. Este mes ha introducido un nuevo valor
llamado "índice de explotabilidad" (exploitability index) que indica
las posibilidades de que se cree un exploit para cada vulnerabilidad.
Además, se está proponiendo (por fin) activar el mayor número de
killbits posibles para evitar ataques a través de ActiveX vulnerables.
En octubre Microsoft ha incluido por primera vez en sus boletines el
"exploitability index", un valor que intenta predecir la posibilidad de
que los atacantes creen código capaz de aprovechar la vulnerabilidad.
Los valores posibles que asignará Microsoft son:
* Consistent exploit code likely: Es probable la creación de un exploit
consistente.
* Inconsistent exploit code likely: Es probable la existencia de un
exploit incosistente.
* Functioning exploit code unlikely: Es improbable la existencia de un
exploit funcional.
Refiriéndose con "consistencia" a las probabilidades que funcione bajo
la mayoría de las circunstancias y la mayor parte de las veces. Esta
forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo
por su parte.
Por ejemplo, en esta última tanda de boletines, se resuelven 20
vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree
un exploit consistente para ellas, y cuatro son poco probables de ser
aprovechadas. Para otras incluso, como el fallo en Windows Printing
Service de Internet Information Services (IIS) Web server, se tiene
constancia de que están siendo activamente aprovechadas. Para una de las
que predijo la posibilidad de un exploit consistente, efectivamente se
ha publicado posteriormente código capaz de aprovechar el fallo.
Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el
valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad.
Se trata de un estándar que gradúa la severidad de manera estricta a
través de fórmulas establecidas y que ya siguen Oracle y Cisco entre
otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero
más tarde adujo que su sistema propio de graduación era correcto, y
nunca ha terminado de apoyar este estándar.
Por último, destacar que Microsoft últimamente está incluyendo boletines
oficiales destinados a activar los killbits de componentes ActiveX,
tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen
ser librerías de Microsoft o de terceros que, en muchas ocasiones,
sirven de puerta para entrar en el sistema a través de Internet
Explorer, gracias a los fallos de seguridad de los propios ActiveX. El
peligro está en que el navegador es capaz de invocarlos, aunque no sea
realmente necesario para cumplir su función. Al activar el killbit, se
asegura que Internet Explorer no puede llamarlos y se anula así un
importante vector de ataque. Al difundir esta activación de killbits
a través de las actualizaciones oficiales de Microsoft, se aseguran
mitigar potenciales problemas con una difusión mucho más extensa que
si lo hiciera el propio fabricante del ActiveX.
Aunque es obligación de los programadores de ActiveX ser precavidos
y activar ese killbit, en la mayoría de las ocasiones sólo una
vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para
anular este vector de ataque, puede impedir muchos problemas de manera
mucho más rápida y mayoritaria. En esta última tanda de boletines (como
medida extra de precaución) se han activado los killbits incluso de
ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y
para los que existían parches.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3648/comentar
Más información:
Microsoft Exploitability Index
http://technet.microsoft.com/en-us/security/cc998259.aspx
0 comentarios:
Publicar un comentario