Descripciones de vulnerabilidades en la nueva versión de la Guía de actualización de seguridad – Centro de respuesta de seguridad de Microsoft

Con el lanzamiento de la nueva versión de la Guía de actualización de seguridad, Microsoft está demostrando su compromiso con los estándares de la industria al describir las vulnerabilidades con el Typical Vulnerability Scoring Procedure (CVSS). Este es un método preciso que explain la vulnerabilidad con atributos como el vector de ataque, la complejidad del ataque, si un adversario necesita ciertos privilegios, etcetera. Puede encontrar más información sobre CVSS aquí e incluso hacer un breve curso en línea aquí. El Centro de Respuesta de Seguridad de Microsoft ha estado calificando las vulnerabilidades de Windows y del navegador desde 2016. Ahora estamos calificando cada vulnerabilidad y mostrando los detalles que conforman esa calificación en la nueva versión del Guía de actualización de seguridad.

Permítame mostrarle una comparación entre el artículo antiguo y el nuevo y luego podrá ver cómo el cambio a este modelo tiene beneficios:

Comparación entre los nuevos artículos SUG y el modelo anterior
  1. Puede ver que el título CVE “Vulnerabilidad de divulgación de información del kernel de la ventana” es una forma más sucinta del primer párrafo: “Existe una vulnerabilidad de divulgación de información cuando el kernel de Windows maneja incorrectamente los objetos en la memoria. Un atacante que aproveche con éxito esta vulnerabilidad podría obtener información para comprometer aún más el sistema del usuario «
  2. El segundo párrafo comienza con: «Para aprovechar esta vulnerabilidad, un atacante tendría que iniciar sesión en un sistema afectado y ejecutar una aplicación especialmente diseñada». Esto es lo que se describe en el primer elemento de la puntuación CVSS «Vector de ataque». En este caso, es community, lo que equivale a «iniciar sesión en el sistema afectado». La segunda oración simplemente reitera que se trata de una divulgación de información.
  3. La conclusión es que lo hemos solucionado «La actualización soluciona la vulnerabilidad al corregir cómo el kernel de Windows maneja los objetos en la memoria». Esta información también se encuentra en la puntuación CVSS en el elemento Nivel de corrección.

¿Como puedes ver? No había mucho en las descripciones de los tres párrafos, aunque eran reconfortantes. La información de la puntuación CVSS contiene todo tipo de información más útil. Por ejemplo, si el alcance es Cambiado, significa que el exploit puede comenzar en un lugar, digamos la memoria de la aplicación, y saltar a otro lugar como la memoria del kernel. Si el Alcance valor en el ejemplo anterior fue Cambiado en vez de Sin alterar, la puntuación pasaría de 5,5 a 6,5. Entonces, puede usar la puntuación para evaluar el riesgo de la vulnerabilidad. Puedes usar el Calculadora CVSS para ver qué efecto tiene el cambio de estos valores en la puntuación base.

Otro ejemplo:

Comprender qué variables de los informes SUG influyen en cómo se calculan las puntuaciones CVSS
  • Aquí:
    • Podemos ver que el vector de ataque aparece como Crimson que se detalla en el párrafo uno. SharePoint Server aloja contenido en un servidor remoto y los usuarios navegan hasta el sitio de SharePoint.
    • Para aprovechar esta vulnerabilidad, el atacante necesitará permiso para cargar contenido en el servidor. Una cuenta que no es de administrador puede cargar contenido, por lo que Privilegios requeridos se establece en Bajo. Además, un usuario objetivo debe interactuar con el contenido malicioso una vez que se haya cargado, por lo tanto La interacción del usuario se establece en Necesario. Una cosa a tener en cuenta es que en el párrafo dos, este artículo no menciona específicamente la necesidad de que un usuario objetivo interactúe con el contenido malicioso sin embargo, esto está representado en la puntuación CVSS.
  • Esta vulnerabilidad también demuestra una situación en la que el Alcance estaría marcado como Cambiado. La condición susceptible existe en el servidor de SharePoint, pero la vulnerabilidad da como resultado que el exploit afecte a cualquier sistema que navegue por el sitio. El servidor no se ve afectado, pero el cliente sí.

Datos curiosos en la nueva versión de la Guía de actualización de seguridad

1. Puede colocar el cursor sobre cualquiera de los elementos en la descripción de la partitura para ver la definición de ese elemento:

Colocando el cursor sobre los elementos en la descripción de la partitura para obtener una definición del elemento

2. Para aquellos de ustedes que les gusta usar la API para descargar la información de las actualizaciones de seguridad, les complacerá saber que hemos actualizado las secuencias de comandos en el MSRC-Microsoft-Stability-Updates-API Repositorio en GitHub para reflejar el cambio en las descripciones de vulnerabilidad. A continuación, le mostramos cómo obtiene un informe que muestra los datos correspondientes a un mes en un entorno PowerShell.

Install-Module MSRCSecurityUpdates -Power
Import-Module
MSRCSecurityUpdates
Established-MSRCApiKey -Verbose -ApiKey "YourAPIKey"
$cvrfDoc = Get-MsrcCvrfDocument -ID 2020-Oct
$CVRFDoc | Get-MsrcVulnerabilityReportHtml | Out-File -FilePath Oct20.html

3. El Vulnerabilidades La pestaña de la nueva Guía de actualización de seguridad muestra una lista de CVE, ¡y puede elegir qué columnas desea ver!

Seleccione todas o solo las columnas que necesite, ¡la elección es suya!

4. Puede crear una lista de artículos de KB que tienen problemas conocidos mediante el Editar columna característica en el nuevo Despliegues lengüeta.

Personalice sus artículos de KB seleccionando todas o solo las columnas que necesita.

5. ¿Notaste que puedes entrar en el modo oscuro?

Habilite el modo oscuro haciendo clic en «tema» en el menú Configuración (el icono de engranaje).

Esperamos que disfrute encontrando su camino en la nueva Guía de actualización de seguridad. Háganos saber lo que piensa al respecto aquí o enviándonos un correo electrónico a msrc_eng_assistance@microsoft.com.

Lisa Olson, directora senior del programa de seguridad, Centro de respuesta de seguridad de Microsoft



Fuente del articulo