Windows sigue arrastrando el estigma de que "tiene fallos", y puede que a este no le falten motivos para seguir vigente. El sistema operativo de Microsoft es usado por millones de personas a lo largo y ancho del globo, por lo que es normal que los hackers vuelquen gran parte de sus esfuerzos en internar "abusar" de él.
Por lo general, cuando se detecta una vulnerabilidad en Windows, Microsoft suele darle una calificación que decidirá cómo se arreglará, si con una actualización menor a través de Windows Update o en la próxima versión del sistema operativo. ¿Qué criterios sigue para ello? La empresa, por fin, lo ha explicado.
¿Cómo califica Microsoft los bugs y fallos de Windows?
Por lo pronto, hemos de diferenciar dos plataformas: cliente (es decir, Windows para ordenadores) y servidores. Cada una de ellas puede ser objeto de unas vulnerabilidades u otras, y en función de cómo afecten al usuario o a la integridad del sistema, se pueden calificar de críticas, importantes, moderadas o bajas.
En la versión cliente
Microsoft entiende que una vulnerabilidad es baja cuando son ataques temporales (como una denegación de servicio leve) o que modifican datos que no persisten a lo largo de las sesiones. Son moderadas cuando permiten a los atacantes recabar información del sistema (mediante el spoofing y técnicas Man-On-The-Middle, por ejemplo), aunque también incluyen algunos ataques de denegación de servicios de mayor calibre.
En la parte alta de la clasificación tenemos a las importantes. Estas son vulnerabilidades que son explotadas mediante advertencias o indicaciones, o mediante acciones intensivas sin avisos. Un ejemplo fácil de ver sería un software que, ejecutándolo como administrador, permite una escalada de privilegios. Finalmente, las críticas son como las importantes, con la diferencia de que no hay advertencias o indicaciones. Estas pueden explotarse para escribir en el sistema de archivos o ejecutar código sin necesidad de que el usuario haga nada.
En la versión servidor
Cuando hablamos a nivel de servidor, Microsoft califica como bajas la propagación y manipulación de la información alojada en él. Son moderadas aquellas vulnerabilidades que solo son viables en determinados escenarios y localizaciones, o que requieren de unas condiciones determinadas para ser explotadas. Un ejemplo sería que un atacante pueda manipular la existencia de un archivo de una localización específica del servidor un ataque DoS llevado a cabo desde varios clientes remotos.
Las vulnerabilidades importantes son aquellas que se ejecutan en escenarios críticos no predeterminados para los que existen mitigaciones. Pueden ser una denegación de servicio que haga que el sistema caiga o una elevación de privilegios que permita acceder al sistema de archivos sin autorización y ejecutar código malicioso. Si puede mitigarse, es un fallo importante.
Finalmente, las vulnerabilidades críticas son aquellas relacionadas con gusanos de red o aquellos escenarios inevitables que comprometen la integridad del servidor. Podría ser una acceso al sistema de archivos sin autorización por parte de un usuario anónimo de forma remota o llevar a cabo inyecciones de SQL que permitan ejecutar código.
¿Cómo atajan estas vulnerabilidades?
En términos generales, Microsoft despliega actualizaciones de seguridad el segundo martes de cada mes, salvo excepciones puntuales que requieren de un despliegue inmediato. Dependiendo de la vulnerabilidad que sea y su calibre, se puede arreglar en estos parches o posponer el fix hasta la próxima actualización mayor de Windows. Para tomar una decisión u otra, Microsoft se hace dos preguntas:
- ¿Viola la vulnerabilidad el objetivo o la intención de un límite o una característica de seguridad?
- ¿La gravedad de la vulnerabilidad se recoge en los criterios de calificación [expuestos anteriormente]?
**Si la respuesta a ambas preguntas es un sí****, Microsoft lanzará un parche de seguridad que llegará a los ordenadores el segundo martes de cada mes o, si es muy grave, conforme esté listo. Si la respuesta a una de ellas es no, el parche se pospondrá hasta el próximo lanzamiento de Windows.
Vía | GHacks | Fuente | Microsoft Vulnerability Severity Classification for Windows, Microsoft Security Servicing Criteria for Windows
Ver 1 comentarios