Escenario CVSS remoto o local

3

Tengo que lidiar con muchas puntuaciones de CVSSv2 y CVSSv3 durante muchos, muchos años. Lo que me preocupa para siempre es qué escenario de ataque predeterminado se definirá para una vulnerabilidad. Tomemos un documento de Office malicioso como ejemplo . Tan pronto como se abre, puede ejecutar código dentro del contexto del usuario. Hay dos escenarios posibles que conducen a dos vectores CVSSv3 diferentes:

CVSS: 3.0 / AV: N / AC: L / PR: N / UI: R / S: U / C: L / I: L / A: L - > 6.3

Este es el escenario tradicional aplicado por el malware que se propaga a través del correo electrónico a través de Internet (AV: N). Un usuario (víctima) tiene que abrir el archivo voluntariamente (UI: R) para iniciar la ejecución del código.

CVSS: 3.0 / AV: L / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: L - > 5.3

Este es el otro escenario donde un atacante local (AV: L) abusa de la vulnerabilidad para obtener privilegios elevados. La "víctima" no requiere ninguna interacción del usuario (IU: N) no deseada (porque el atacante y la víctima no son la misma persona en este escenario).

¿Cuál es correcto o mejor ? Tendemos a usar el que tiene la puntuación más alta si es un escenario realista. Esta discusión se aplica a todas las vulnerabilidades que también pueden usarse voluntariamente en un escenario de ataque local (por ejemplo, la mayoría de ataques basados en navegador ). / p>     

pregunta Marc Ruef 12.05.2017 - 08:52
fuente

1 respuesta

4

Si sigues la especificación y los ejemplos de la primera, ninguno es correcto.

Empecemos con ejemplos:

  • CVE-2015- 1098 , que trata sobre DoS en iWork a través de un archivo especialmente diseñado, se califica como AV: L y UI: R.

  • CVE-2009-0658 , que se trata de un desbordamiento de búfer en Adobe Acrobat a través de un archivo específicamente diseñado, también se califica como AV: L y UI: R.

El motivo en ambos casos es que la vulnerabilidad está en el analizador local y la víctima tiene que abrir el archivo.

Mirando la especificación CVSSv3 , podemos ver por qué:

  

Red : una vulnerabilidad explotable con acceso a la red significa que el componente vulnerable está vinculado a la pila de la red y la ruta del atacante es a través de la capa 3 de OSI (la capa de red).

     

Local : una vulnerabilidad explotable con acceso local significa que el componente vulnerable no está vinculado a la pila de la red, y la ruta del atacante es a través de las capacidades de lectura / escritura / ejecución. ella puede confiar en la interacción del usuario para ejecutar un archivo malintencionado.

Ninguno de los ataques funciona en la capa 3 de OSI, por lo que no son "Red", pero dependen de que un usuario ejecute un archivo malicioso, por lo que se requiere la interacción del usuario.

Tenga en cuenta que esto contrasta con CVSSv2, donde los ejemplos de CVSSv3 enumeran los problemas como una red de vectores de acceso (que en realidad no coincide con guía CVSSv2 ). La guía de usuario de CVSSv3 ofrece una explicación para esto:

  

En CVSS v2.0, el consejo de puntuación 5 decía: "[...]" Esta guía a veces genera confusión en los casos en que un atacante engañaría a un usuario para que descargue un documento mal formado desde un servidor web remoto, explotando un archivo vulnerabilidad de análisis. En tal caso, los analistas que usan CVSS v2.0 tratarán estas vulnerabilidades como "red", [...]

     

Esta guía se ha mejorado en CVSS v3.0 al aclarar las definiciones de la Red y los valores adyacentes de la métrica del Vector de Ataque. Específicamente, los analistas solo deben calificar para Red o Adyacente cuando una vulnerabilidad está vinculada a la pila de la red. Las vulnerabilidades que requieren la interacción del usuario para descargar o recibir contenido malintencionado (que también podría enviarse localmente, por ejemplo, a través de unidades USB) se deben calificar como locales.

     

Por ejemplo, una vulnerabilidad de análisis de documentos, que no depende de la red para poder ser explotada, por lo general se debe calificar con el valor Local, independientemente del método utilizado para distribuir dicho documento malicioso (por ejemplo, podría ser un enlace a un sitio web, o mediante una memoria USB) .

Básicamente, la puntuación de la red CVSSv2 resultó de la confusión y no se considera correcta.

Note que los ataques basados en el navegador se ven como completamente diferente a los ataques basados en archivos, ya que la pila de red está involucrada (el enlace contiene una explicación bastante extensa).

Desde una perspectiva técnica, esta puntuación tiene mucho sentido para mí, ya que realmente se ve lo que es el vector de ataque. En la práctica, puede parecer un poco extraño que dos problemas que resulten en el mismo daño y que puedan explotarse en escenarios muy similares reciban puntuaciones tan diferentes.

No lo preguntaste, pero tus calificaciones de la CIA como L me parecen demasiado bajas. Creo que se podría hacer un buen argumento para H, que le daría CVSS: 3.0 / AV: L / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H - > 7.8

    
respondido por el tim 12.05.2017 - 20:56
fuente

Lea otras preguntas en las etiquetas