CVSS Score Remote o Local Scenario

3

Ho a che fare con molti punteggi CVSSv2 e CVSSv3 per molti, molti anni. Ciò che mi disturba come sempre è lo scenario di attacco predefinito che deve essere definito per una vulnerabilità. Prendiamo un documento di Office dannoso come esempio . Appena aperto, è in grado di eseguire codice nel contesto dell'utente. Esistono due possibili scenari che portano a due diversi vettori CVSSv3:

CVSS: 3.0 / AV: N / AC: L / PR: N / UI: R / S: U / C: L / I: L / A: L - > 6.3

Questo è lo scenario tradizionale applicato dal malware che si diffonde via e-mail su Internet (AV: N). Un utente (vittima) deve aprire il file volutamente (UI: R) per avviare l'esecuzione del codice.

CVSS: 3.0 / AV: L / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: L - > 5.3

Questo è l'altro scneario in cui un attaccante locale (AV: L) abusa della vulnerabilità per ottenere privilegi elevati. Nessuna interazione utente indesiderata (UI: N) è richiesta dalla "vittima" (perché l'autore dell'attacco e la vittima non sono la stessa persona in questo scenario).

Quale è giusto o migliore ? Tendiamo a usare quello con il punteggio più alto se si tratta di uno scenario realistico. Questa discussione si applica a tutte le vulnerabilità che potrebbero anche essere utilizzate volontariamente in uno scenario di attacco locale (ad es. La maggior parte degli attacchi basati su browser ).

    
posta Marc Ruef 12.05.2017 - 08:52
fonte

1 risposta

4

Se segui le specifiche e gli esempi per primi, nessuno dei due è corretto.

Iniziamo con gli esempi:

  • CVE-2015- 1098 - che parla di DoS in iWork tramite un file appositamente predisposto - è valutato come AV: L e UI: R.

  • CVE-2009-0658 - che riguarda un overflow del buffer in adobe acrobat tramite un file appositamente predisposto - è anche segnato come AV: L e UI: R.

Il motivo in entrambi i casi è che la vulnerabilità è nel parser locale e che la vittima deve aprire il file.

Osservando la specifica CVSSv3 , possiamo capire perché:

Network: A vulnerability exploitable with network access means the vulnerable component is bound to the network stack and the attacker's path is through OSI layer 3 (the network layer).

Local: A vulnerability exploitable with Local access means that the vulnerable component is not bound to the network stack, and the attacker's path is via read/write/execute capabilities. [...] she may rely on User Interaction to execute a malicious file.

Nessuno degli attacchi funziona sul livello OSI 3, quindi non sono "Network", ma si basano su un utente che esegue un file dannoso, quindi è richiesta l'interazione dell'utente.

Si noti che questo è in contrasto con CVSSv2, dove gli esempi CVSSv3 elencano i problemi come rete di accesso vettoriale (che in realtà non corrisponde a guida CVSSv2 ). La guida dell'utente CVSSv3 offre alcune spiegazioni per questo:

In CVSS v2.0, Scoring Tip 5 stated: "[...]" This guidance sometimes led to confusion in cases where an attacker would trick a user into downloading a malformed document from a remote web server, exploiting a file parsing vulnerability. In such case, analysts using CVSS v2.0 would treat these vulnerabilities as "network," [...]

This guidance has been improved in CVSS v3.0 by clarifying the definitions of the Network and Adjacent values of the Attack Vector metric. Specifically, analysts should only score for Network or Adjacent when a vulnerability is bound to the network stack. Vulnerabilities which require user interaction to download or receive malicious content (which could also be delivered locally, e.g. via USB drives) should be scored as Local.

For example, a document parsing vulnerability, which does not rely on the network in order to be exploited, should typically be scored with the Local value, regardless of the method used to distribute such a malicious document (e.g. it could be a link to a web site, or via a USB stick).

Quindi, in sostanza, il punteggio della rete CVSSv2 è risultato dalla confusione e non è visto come corretto.

Nota che gli attacchi basati su browser sono visti come completamente diverso rispetto agli attacchi basati su file, in quanto è coinvolto lo stack di rete (il collegamento contiene una spiegazione piuttosto lunga).

Da un punto di vista tecnico, questo punteggio ha molto senso per me, in quanto sembra effettivamente il vettore di attacco. In pratica, può sembrare un po 'strano che due problemi che provocano lo stesso danno e che possono essere sfruttati in scenari molto simili ricevano punteggi così diversi.

Non l'hai chiesto, ma i tuoi voti della CIA come L sembrano troppo bassi per me. Penso che una buona argomentazione possa essere fatta per H, che ti darebbe CVSS: 3.0 / AV: L / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H - > 7.8

    
risposta data 12.05.2017 - 20:56
fonte