Microsoft publicó recientemente dos documentos relacionados con la seguridad que describen cómo la empresa determina el nivel de gravedad de las vulnerabilidades y cómo decide cuándo publicar las actualizaciones.
El primer documento, Microsoft Vulnerability Severity Classification for Windows, enumera la información que el Centro de respuesta de seguridad de Microsoft utiliza para clasificar la gravedad de los problemas de seguridad revelados a la empresa o encontrados por los empleados de la empresa.
Microsoft distingue entre sistemas de servidor y de cliente, y clasifica las vulnerabilidades en consecuencia.
Ciertas características de vulnerabilidad o ataque pueden dar lugar a índices de gravedad más altos o más bajos.
Índice de contenido
Versiones de cliente de Windows
- Crítico — Vulnerabilidades que pueden ser explotadas sin advertencias o avisos. Los ejemplos incluyen la elevación remota de exploits de privilegios que permiten a los atacantes escribir en el sistema de archivos, o ejecutar código arbitrario sin interacción del usuario.
- Importante — El principal factor que distingue entre clasificaciones de gravedad críticas e importantes es que las vulnerabilidades importantes se explotan con advertencias o avisos, o mediante acciones extensas sin aviso. Algunos ejemplos incluyen la escalada local de exploits de privilegios o la ejecución de código arbitrario que requiere una acción extensiva por parte del usuario.
- Moderado — Las vulnerabilidades moderadas pueden permitir a un atacante recuperar información de los sistemas, por ejemplo, a través de conexiones no cifradas o spoofing. También incluye algunos ataques de denegación de servicio.
- Baja — La clasificación de gravedad más baja incluye ataques de naturaleza temporal, por ejemplo, denegación de servicio o modificación de datos que no persisten en todas las sesiones.
Versiones de servidor de Windows
- Crítico — Vulnerabilidades del servidor tales como gusanos de red que comprometen al servidor. Los exámenes incluyen acceso no autorizado a archivos y ataques de inyección SQL.
- Importante — Vulnerabilidades tales como ataques de denegación de servicio o elevación de privilegios que no son predeterminados o para los cuales existen mitigaciones que pueden prevenir escenarios críticos.
- Moderado — Vulnerabilidades que normalmente requieren escenarios específicos, ubicaciones específicas u otros prerrequisitos.
- Bajo — Revelación y manipulación de información específica o no específica.
Criterios de Microsoft Security Servicing para Windows
Microsoft reveló en un segundo documento cómo determina cuándo publicar actualizaciones de seguridad para vulnerabilidades.
Los usuarios y administradores de Windows saben que Microsoft publica actualizaciones de seguridad el segundo martes de cada mes y que es el momento más común para la publicación. En su lugar, algunas actualizaciones de seguridad deben publicarse inmediatamente; es el caso de las vulnerabilidades que se explotan de forma activa y a gran escala. Es posible que otras actualizaciones de seguridad no se publiquen inmediatamente o durante el martes de parches, ya que se posponen a la siguiente actualización de características para una versión particular de Windows.
Microsoft Security Servicing Criteria for Windows detalla el proceso para determinar cuándo se deben liberar los parches. Dos preguntas son muy importantes cuando se trata de eso:
- ¿Viola la vulnerabilidad el objetivo o la intención de una frontera de seguridad o una característica de seguridad?
- ¿Cumple la gravedad de la vulnerabilidad con los requisitos para el mantenimiento?
Microsoft crea actualizaciones de seguridad para vulnerabilidades si la respuesta a ambas preguntas es afirmativa. Si al menos una respuesta es negativa, Microsoft puede posponer la actualización a la siguiente versión o versión de Windows.
El documento proporciona información sobre límites y características de seguridad,