Cambios en el Índice de Explotabilidad de Microsoft

Microsoft está reorganizando su índice de explotabilidad para aclarar a sus clientes los problemas de vulnerabilidades en sus programas, haciendo que su producto se adelante al resto de las grandes empresas. Aun así, ningún sistema es perfecto.

El equipo del Centro de Respuestas de Seguridad de Microsoft tiene mucho trabajo por hacer para poder manejar las vulnerabilidades en sus programas, que poco a poco se empiezan a descubrir, publicar, explotar y discutir. No es un trabajo que envidie.

En sólo cinco días, el equipo mostrará algunos de los cambios. Uno de ellos divide las clasificaciones de sus nuevos y viejos productos. Ambas actualizaciones también incluirán información sobre las vulnerabilidades en el próximo martes de parches, aunque no permitan la ejecución remota de códigos y en vez de eso hagan posibles los ataques de negación de servicio.

Este índice está dirigido a organizaciones y personas con un conocimiento técnico avanzado, para ayudarles a decidir la urgencia con la que deben instalar algunos parches y proteger las aplicaciones y servicios vulnerables. Por esta razón, las grandes empresas que cuentan con un equipo de técnicos sacarán más provecho de estos cambios que los consumidores individuales. Para los consumidores, la recomendación general es que activen la característica para actualizar sus sistemas de forma automática e instalen los parches tan pronto como aparezcan. Microsoft tiene un proceso masivo y muy riguroso de preguntas y respuestas para ver la compatibilidad de los parches y los problemas de distribución, así que los problemas de los consumidores individuales se minimizan al disminuir el riesgo de seguridad general. El primer cambio sin duda va a beneficiar de gran manera a las organizaciones y consumidores que mantengan las últimas versiones de los productos Microsoft.

Pero la evaluación constante y precisa de la explotabilidad de estas vulnerabilidades es algo que los analistas de seguridad han estado cuestionando durante los últimos años, y hace poco Ryan Smith y Chris Valasek también lo mencionaron en Infiltrate 2011. Smith y Valasek indagaron sobre el reciente desbordamiento de montículo en el servidor FTP de MS, declarado “inexplotable” por el equipo de Microsoft, y que demostraronó que habían mediante complicadas técnicas para que se puede conseguir el registro eip. Incluso cuando se toma en cuenta que este enfoque tiene limitaciones en el mundo real, este trabajo nos hace dudar de las suposiciones y caprichos que pueden afectar el modo en que se organiza el índice. Así que se pone en duda la validez del segundo cambio y la utilidad del índice en general. ¿Es posible que un solo equipo ofrezca una visión lo suficientemente amplia como para desarrollar este índice?

De todas formas, la cantidad de esfuerzo e interés que Microsoft está poniendo en asegurar sus códigos y facilitar la entrega de vulnerabilidades, hace que este proceso supere por en mucho a las otras empresas de software. Si Adobe, Oracle y Apple tuvieran avances sólidos y comparables con los de Microsoft en sus programas de vulnerabilidades, Internet se convertiría en un lugar mucho más seguro. ¡Por favor, únanse!