¿Es la calificación de gravedad agregada de "Importante" para MS13-027 demasiado baja?

1

El Boletín de seguridad indica que el "Impacto máximo de seguridad" es "Elevación de Privilegio"; Sin embargo, el SRD blog post dice que la ejecución del código es posible Además, SRD dice: "Otro software que permita el paso de bajo nivel de la enumeración de dispositivos USB puede abrir vías adicionales de explotación que no requieren acceso físico directo al sistema". Además, el Resumen de marzo indica que es probable que haya una vulnerabilidad para esta vulnerabilidad. Dado todo esto, ¿cómo es la "Clasificación de gravedad de agregados" no crítica? Una de las situaciones que me preocupan ahora es que la mucama camina por la noche, es propietaria de todos los escritorios de mi plataforma de comercio o de cualquier otro dispositivo corporativo basado en Windows.

EDITAR: Aquí es el libro blanco que el investigador publicó sobre el tema de USB.

    
pregunta Joe Gatt 13.03.2013 - 20:21
fuente

3 respuestas

4

Creo que puede deberse al hecho de que requiere acceso local. Sin un acceso de bajo nivel a USB, esto no puede ser explotado de manera remota, por lo que el riesgo potencial es bastante limitado. Los entornos de alta seguridad ya deberían tener seguridad física para evitar que se instalen dispositivos USB fraudulentos y una menor seguridad es un objetivo menos crítico para un ataque dirigido local. Probablemente sea la limitación del alcance en lugar del daño potencial limitado a un sistema en particular.

Es difícil decir si esa es una buena forma de medir la gravedad o no, pero es mi mejor estimación de dónde vienen.

    
respondido por el AJ Henderson 13.03.2013 - 20:44
fuente
5

Yo diría que como @AJHenderson dice que su calificación de Importante se debe al requisito de acceso físico.

Dicho esto, como con cualquier vulnerabilidad, el riesgo real para un entorno debe evaluarse en función de las posibles amenazas para los sistemas y su accesibilidad. En algunas empresas, el riesgo de este ataque será bastante bajo (por ejemplo, entornos de centros de datos donde el acceso físico a los sistemas es extremadamente limitado), mientras que en otras será alto donde el acceso es fácil (por ejemplo, cualquier entorno tipo quiosco que permita el acceso USB) o donde los posibles agentes de amenazas pueden obtener acceso físico a los sistemas (por ejemplo, organizaciones financieras que pueden permitir que el personal contratado, como los limpiadores, tenga acceso físico a los sistemas (piense en sumitomo bank))

En última instancia, diría que la calificación de Microsoft debería considerarse un punto de partida para una evaluación de riesgo de una empresa y que deben tener en cuenta su propio entorno antes de decidir cómo tratar un problema determinado.

    
respondido por el Rоry McCune 13.03.2013 - 21:33
fuente
1

Es el mismo caso de Redhat explicando en su publicación de blog por qué usan CVSS y no toman en cuenta tener en cuenta el entorno y los valores temporales (basados en el tiempo). Su pregunta está directamente relacionada con este mismo procedimiento.

La razón por la cual Microsoft no lo ha calificado como crítico en general es debido al factor ambiental. Muchas organizaciones ya cuentan con seguridad física con tolerancia cero para dispositivos USB. Incluso si la ejecución del código es posible, no es remota. El atacante debe tener acceso físico a la máquina para desencadenar el error. Aunque solo conectar una unidad flash es rápido, pero creo que si tiene acceso phyiscal al sistema, USB no es el único vector que puede comprometer.

Por lo tanto, teniendo en cuenta el vector de explotación general y el hecho de que las nuevas vías de ataque que este error en particular puede introducir en un entorno, la vulnerabilidad no se considera crítica.

    
respondido por el void_in 14.03.2013 - 07:51
fuente

Lea otras preguntas en las etiquetas