Thursday, February 19, 2009

Microsoft Exploitability Index

• Microsoft Exploitability Index
Microsoft Exploitability Index (MEI) คือ ดัชนีสำหรับให้ข้อมูลเพิ่มเติมแก่ลูกค้าของไมโครซอฟท์ ในการจัดลำดับความสำคัญในการติดตั้งแพตช์หรือซีเคียวริตี้อัพเดทต่างๆ ดัชนีนี้จะให้คำแนะนำและแนวทางกับลูกค้าเกี่ยวกับการทำงานของ exploit code ของช่องโหว่ของโปรแกรมต่างๆ ที่ระบุในไมโครซอฟท์ซีเคียวริตี้อัพเดท ไมโครซอฟท์จะเผยแพร่ MEI ภายในสามสิบวันนับจากวันแรกที่ไมโครซอฟท์ออกซีเคียวริตี้อัพเดทนั้น

• เหตุผลที่ไมโครซอฟท์พัฒนาระบบ MEI
โดยปกติผู้ใช้จะได้รับทราบรายละเอียดเกี่ยวกับการอัพเดท รวมถึง proof-of-concept code , exploit code และการโจมตีเกิดขึ้น (ถ้ามี) ผ่านทาง Security Bulletins หรือ Bulletin Webcast ซึ่งไมโครซอฟท์จะออกเป็นรายเดือน แต่ข้อมูลต่างๆ นั้นยังไม่เพียงพอสำหรับผู้ใช้ในการประเมินเสี่ยงและจัดลำดับความเร่งด่วนของการอัพเดท ดังนั้นไมโครซอฟท์จึงได้พัฒนา Microsoft Exploitability Index ขึ้น

โดยวัตถุประสงค์หลักที่ไมโครซอฟท์พัฒนาระบบ Microsoft Exploitability Index นั้น ก็เพื่อการตอบสนองต่อการเรียกร้องของลูกค้าที่ต้องการข้อมูลเพิ่มเติมเพื่อใช้ในการประเมินความเสี่ยง โดยดัชนี MEI จะให้รายละเอียดเพิ่มเติมในด้านต่างๆ เช่น รายละเอียดเกี่ยวกับ exploit code ที่มีการเผยแพร่หลังการออกซีเคียวริตี้อัพเดท ซึ่งจะช่วยให้ลูกค้ามีข้อมูลสำหรับใช้ในการจัดลำดับความสำคัญที่ช่วยให้การติดตั้งซีเคียวริตี้อัพเดท

• หลักการทำงานของ MEI
ขั้นตอนแรกไมโครซอฟท์จะทำการประเมินศักยภาพของการโจมตีระบบผ่านช่องโหว่ที่สัมพัธ์กับไมโครซอฟท์ซีเคียวริตี้อัพเดท แล้วจะทำการเผยแพร่ข้อมูลดังกล่าวใน Microsoft security bulletin summary ภายในสามสิบหลังจากนั้น ไมโครซอฟท์จะทำการประเมิน Exploitability Index อีกครั้ง ถ้าหากพิจารณาแล้วมีการเปลี่ยนแปลง ไมโครซอฟท์ก็จะทำการปรับปรุงข้อมูลใน bulletin summary และทำการแจ้งให้ลูกค้าทราบผ่านทาง Technical Security Notification แต่ถ้าทำการการประเมินแล้วไม่มีอะไรเปลี่ยนแปลงก็จะไม่ทำการปรับปรุงข้อมูลใน bulletin summary

โดยข้อมูลเกี่ยวกับศักยภาพของการโจมตีระบบผ่านทางช่องโหว่ จะรวมถึงขอมูลของ bulletin ID, bulletin title, CVE ID ที่สัมพันธ์กับช่องโหว่, Exploitability Index Assessment และ ข้อมูลสำคัญอื่นๆ

ตัวอย่าง MEI ของซีเคียวริตี้อัพเดทหมายเลข MS08-021

Microsoft Exploitability Index

Exploitability Index
Exploitability Index เป็นดัชนีที่ใช้แสดงถึงโอกาสที่การโจมตีจะประสบความสำเร็จ ซึ่งจะมี 3 ระดับด้วยกัน ดังนี้

1 – Consistent Exploit Code Likely
ค่าดัชนีระดับ 1 เป็นระดับที่มีความเสี่ยงสูงสุด หมายความว่า ไมโครซอฟท์วิเคราะห์แล้วว่า ผู้โจมตีจะประสบความสำเร็จ ในการโจมตีช่องโหว่ด้วย Exploit Code ดังนั้นผู้ใช้จะต้องจัดลำดับความสำคัญของการติดตั้งซีเคียวริตี้อัพเดทเป็นลำดับสูงสุด

2 – Inconsistent Exploit Code Likely
ค่าดัชนีระดับ 2 เป็นระดับที่มีความเสี่ยงปานกลาง หมายความว่า ไมโครซอฟท์วิเคราะห์แล้วว่า ผู้โจมตีจะมีโอกาสประสบความสำเร็จ 1-10 % ในการโจมตีช่องโหว่ด้วย Exploit Code ดังนั้นผู้ใช้จะต้องจัดลำดับความสำคัญของการติดตั้งซีเคียวริตี้อัพเดทเป็นลำดับสูงแต่ต่ำกว่าอัพเดทที่มีค่าดัชนีระดับ 1

3 – Functioning Exploit Code Unlikely
ค่าดัชนีระดับ 3 เป็นระดับที่มีความเสี่ยงต่ำ หมายความว่า ไมโครซอฟท์วิเคราะห์แล้วว่า ยังไม่มีการเผยแพร่ Exploit Code ที่สามารถโจมตีช่องโหว่ได้สำเร็จ อย่างไรก็ตาม อาจจะมีการสร้าง Exploit Code ซึ่งสามารถทำการโจมตีช่องโหว่ได้สำเร็จในอนาคต สำหรับซีเคียวริตี้อัพเดทที่มีค่าดัชนีระดับ 3 นั้น ให้ผู้ใช้ลำดับความสำคัญของการติดตั้งซีเคียวริตี้อัพเดทเป็นลำดับต่ำสุด


Exploitability Index Assessment



แหล่งข้อมูลอ้างอิง
• http://technet.microsoft.com/en-us/security/cc998259.aspx



Copyright © 2009 Thai Windows Administrator Blog, All Rights Reserved.

0 Comment: