Microsoft, Windows 10의 '폭발 가능성이 더 높음'경보 음

Microsoft, Windows 10의 '폭발 가능성이 더 높음'경보 음

매월 그 날 화요일, Microsoft는 자사 제품에서 발견 및 수정 된 보안 취약점 수를 밝혀 내고 다시 사라졌습니다. 다시 한 번, 새로운 표준으로 빠르게 발전함에 따라이 보안 업데이트에서 100 개 이상의 취약점 이 해결되었습니다. 사이버 범죄자들이 이미 악용하고있는 제로 데이 (zero-days), 무기화 된 취약점은 없었으며 Windows 10 사용자에게는 5 가지 중요한 문제 만있었습니다.

그러나 5 월 보안 업데이트에 Windows 10에 영향을 미치는 73 개의 "중요"취약점도 포함되었습니다. 그 중 일부는 다소 혼란 스럽지만 "폭발 가능성이 더 높습니다"라고 평가되었습니다.

도대체 그 의미가 무엇인지, 그리고 실제로 매우 중요한 취약점이 매우 중요한 취약점과 같은지에 대한 의문을 제기하는 것은 무엇입니까?

Microsoft 패치 2020 년 5 월 화요일
Microsoft는 이번 달 화요일 패치 업데이트에 총 111 건의 보안 취약점 에 대한 픽스를 포함 시켰 습니다. 전체 Microsoft 제품 범위에서이 중 16 개는 중요한 것으로 평가되는 반면 나머지 대다수는 중요한 것으로 분류됩니다.

평소와 같이 Windows 10 사용자는 운영 체제에 영향을 미치는 78 가지 취약점 에 대해 가장 많이 고민하고 있습니다 . 이 중 5 개만 중요 등급으로 평가되었으며, 무기화되어 사용중인 것으로 알려진 사람은 없습니다. 하지만 그렇습니까?

결국, "중요한"보안 취약점은 무시할 수없는 수치가 아닙니다. 더 중요한 것은, 이러한 중요한 취약점 중 일부는 대부분의 중요한 취약점보다 훨씬 무기화 될 가능성이 큽니다. 따라서 야생에서 악용 될 가능성이 훨씬 적은 중대한 문제보다 이러한 문제에 대해 걱정하지 않아야합니까?

'폭발 가능성이 더 높은'수수께끼
우선, Microsoft의 보안 업데이트 심각도 등급 시스템과이 시스템이 개발 한 취약성 지수의 차이점을 이해해야합니다.

CVSS (Common Vulnerability Scoring System)는 보안 취약점의 특성을 평가하는 데 사용되는 업계 표준입니다. 이렇게 하면 요즘에 읽은 보안 취약점에 사용되는 CVE ( Common Vulnerabilities and Exposures ) 참조에 심각도 점수가 지정 됩니다. 이러한 취약성 메트릭은 전 세계 조직에서 일관되고 표준화 된 방식으로 보안 문제로 인한 위험을 평가하는 데 사용됩니다.

Microsoft의 보안 업데이트 심각도 등급 시스템은 때때로 이러한 CVSS 점수와 일치하지만 동일하지 않습니다. Microsoft 는 다음과 같이 설명합니다 . "우리는 최악의 이론적 결과에 따라 각 취약점을 평가하는 심각도 등급 시스템을 게시했습니다."

따라서 중요한 Microsoft 등급은 사용자 개입없이 코드를 실행하기 위해 악용 될 수있는 취약점에 적용되며, 즉시 업데이트 할 수있는 패치가 권장됩니다.

그러나 프롬프트 및 경고 생성 여부에 관계없이 사용자 작업이 관련된 잠재적 인 타협에는 중요한 등급이 적용됩니다. 미묘하지만 중요한 차이 인 가장 빠른 기회에 중요한 업데이트를 적용하는 것이 좋습니다.

이는 악용 가능성 지수 평가에 도움이됩니다. 이들은입니다 마이크로 소프트는 말한다 "도움을 고객이 보안 업데이트 배포의 우선 순위를."에, 즉, 실제 위험을 평가하십시오.

보다 취약성으로 평가되는 취약점은 Microsoft에서 분석 한 것으로, 원하는 경우 무기 코드를 사용하여 취약점을 "일관되게 악용"하는 방식으로 생성 될 수 있음을 밝혀 냈습니다. 더욱이, Microsoft는 취약점 유형에 대한 이러한 악용 사례를 살펴보고 잠재적 인 공격자가 매력적이고 실행 가능한 대상으로 생각할 것입니다.

반면에, 취약성 공격은 공격자가 이러한 악용 코드를 작성하기 어려울 때 적용되며, 최근에는 취약점 유형 악용에 대한 최근 기록이 없습니다.

실제 위험 및 취약성 점수
지금까지, 모순되지 않은 경우이 모든 것이 약간 혼란스럽게 들린다 고 생각한다면, 당신은 확실히 혼자가 아닙니다. 받은 편지함에는 매월 둘째 주 수요일이나 목요일에 취약성 등급에 대한 설명을 요구하는 이메일이 항상 유입됩니다. 재밌 네요 이 혼란이 실제 위험 실수로 해석되는 경우는 그리 재미 있지 않습니다.

이러한 방식으로 생각해보십시오. 악용 될 가능성이 높은 중요한 취약점이 모든 의도와 목적으로 악용 될 가능성이 적은 중요한 취약점과 동일한 가중치를 가지고 있습니까? 그리고 만약 그렇다면, 취약점과 관련하여 위험 등급을 다르게 평가해서는 안 되는가?

Cyjax의 CISO 인 Ian Thornton-Trump는 "Microsoft가 중요하다고해서 실제로 조직에 중요하지 않다는 것은 아닙니다. 패치마다 모든 위험 분석과 사이버 위협 정보 입력이 필요합니다."라고 말합니다. 그는이를 통해 적극적으로 악용되고 있는지, 인터넷에 노출 된 취약점인지, 자산 관리가 얼마나 견고한 지 묻습니다. Thornton-Trump는 "파괴 가능성이 높은 패치의 우선 순위 지정 및 테스트, .NET, .ASP 및 '서비스 팩"이라는 단어가 발생해야합니다 "라고 Thornton-Trump는 말합니다. 또한 패치를 적용 할 수 있는지 또는 "응용 프로그램을 폭발 시킬지"공급 업체에 확인하는 것이 좋습니다. 실제로 그는 "

Tenable의 보안 대응 관리자 인 Rody Quinlan은 "취약점의 등급 및 CVSS 점수는 위협 행위자의 초기 관심을 끌지 만,이 취약점만으로는 모든 취약점이 동일하게 생성되는 것은 아니기 때문에 적극적으로 악용 될 수있는 것은 아닙니다."라고 말합니다. 따라서 개념 증명 (PoC)의 가용성, 악용 용이성, 원격으로 악용 될 수 있는지 여부, 비즈니스에 미치는 잠재적 영향 및 공격자가 실현할 수있는 이점을 모두 고려해야합니다. Quinlan은 "영향을받는 장치의 운영 체제 또한 핵심 요소"라며 "일부는 다른 것보다 더 유혹적입니다"라고 말합니다. Windows는 확실히이 범주에 속합니다. "중요 등급으로 평가 된 취약점은 실제 등급에서 중요 등급으로 평가 된 취약점보다 실용적이고 경제적으로 유리할 수 있습니다.

마지막으로, ESET의 사이버 보안 전문가 인 Jake Moore는 "업데이트가 등급을 매기면 uber 보안에 민감한 패치를 적용하면 미루지 않은 사람들은 덜 중요한 업데이트를 건너 뛸 수 있습니다."라고 지적합니다. 물론 실제 등급이 보안 패치에 실제로 방해가 될 수 있기 때문에 실제 문제가있는 곳입니다. "우리는 여전히 특정 공격에 대해 위험에 처하지 않는다고 생각하는 많은 회사를 보유하고 있으며 일부는 심지어 머리를 모래에 단단히 고정 시키기도합니다. 그러나 용어가 중요하거나 중요하거나 무엇이든 항상 가치가 있습니다. 가능한 한 빨리 보호하기 위해 최초의 실제 컨버전스에 패치를 적용하십시오. "