Il livello di gravità aggregato di "Importante" per MS13-027 è troppo basso?

1

Il Bollettino sulla sicurezza afferma che il "Massimo impatto sulla sicurezza" è "Elevazione di Privilegio"; tuttavia, SRD post sul blog dice che l'esecuzione del codice è possibile. Inoltre, SRD afferma: "Altri software che consentono il passaggio a basso livello dell'enumerazione dei dispositivi USB possono aprire ulteriori percorsi di sfruttamento che non richiedono un accesso fisico diretto al sistema". Inoltre, il Riepilogo di marzo indica che è probabile un exploit per questa vulnerabilità. Considerato tutto questo, in che modo il "livello di gravità aggregato" non è critico? Una volta lo scenario di cui sono preoccupato è la cameriera che cammina di notte, proprietaria di tutti i desktop sul mio pavimento commerciale o di qualsiasi altro dispositivo aziendale basato su Windows.

EDIT: Qui è il white paper pubblicato dal ricercatore sull'argomento di USB.

    
posta Joe Gatt 13.03.2013 - 20:21
fonte

3 risposte

4

Credo che possa essere dovuto al fatto che richiede l'accesso locale. Senza passthrough di basso livello verso USB, questo non può essere sfruttato a distanza, quindi il rischio potenziale è piuttosto limitato. Gli ambienti ad alta sicurezza dovrebbero già avere la sicurezza fisica per impedire l'installazione di dispositivi USB non autorizzati e ridurre la sicurezza è meno di un obiettivo critico per un attacco mirato locale. Probabilmente è la limitazione dell'ambito rispetto al potenziale danno limitato a un particolare sistema.

È difficile stabilire se sia un buon modo per misurare la gravità o no, ma è la mia ipotesi migliore da dove provengano.

    
risposta data 13.03.2013 - 20:44
fonte
5

Direi che come @AJHenderson afferma che la loro valutazione di Importante è inferiore al requisito di accesso fisico.

Ciò detto come in ogni vulnerabilità, il rischio effettivo per un ambiente deve essere valutato sulla base delle probabili minacce ai sistemi e alla loro accessibilità. In alcune aziende il rischio di questo attacco sarà piuttosto basso (ad esempio, gli ambienti dei data center dove l'accesso fisico ai sistemi è estremamente limitato), mentre in altri sarà elevato dove l'accesso è facile (ad esempio, qualsiasi ambiente in stile chiosco che consente l'accesso USB) o dove i potenziali agenti delle minacce possono ottenere l'accesso fisico ai sistemi (ad esempio, organizzazioni finanziarie che possono consentire agli agenti contrattuali come l'accesso fisico ai pulitori ai sistemi (si pensi a sumitomo bank))

In definitiva, direi che il rating Microsoft dovrebbe essere visto come un punto di partenza per la valutazione del rischio delle aziende e devono tenere conto del proprio ambiente prima di decidere in che misura trattare severamente un determinato problema.

    
risposta data 13.03.2013 - 21:33
fonte
1

È lo stesso caso di Redhat che spiega nel loro post del blog perché usano CVSS e non prendono in considerazione tenere conto dell'ambiente e dei valori temporali (basati sul tempo). La tua domanda è direttamente correlata a questa stessa procedura.

Il motivo per cui Microsoft non ha contrassegnato questo come critico generale è dovuto al fattore ambientale. Molte organizzazioni dispongono già della sicurezza fisica con tolleranza zero per i dispositivi USB. Anche se l'esecuzione del codice è possibile, non è remota. L'attaccante deve avere accesso fisico alla macchina per attivare il bug. Anche se il collegamento di un'unità flash è veloce, ma penso che se si dispone dell'accesso phyiscal al sistema, l'USB non è l'unico vettore che è possibile compromettere.

Pertanto, tenendo conto del vettore di sfruttamento generale e del fatto che le nuove modalità di attacco che questo specifico bug può introdurre in un ambiente, la vulnerabilità non è considerata critica.

    
risposta data 14.03.2013 - 07:51
fonte

Leggi altre domande sui tag