Tietoturvatiedotteiden luokituksesta

Eilisessä webcastissakin tuli kysymyksiä tietoturvatiedotteiden luokituksesta (palaan muihin kysymyksiin myöhemmin tänään). Microsoft käyttää tietoturvatiedotteille neliportaista luokitusta:

- Kriittinen eli Critical
- Tärkeä eli Important
- Keskitaso eli Moderate
- Alhainen eli Low

Eilinenkin kysymys liittyi siihen, miksi yksi tietoturvatiedotteista (SNMP-tiedote eli MS06-074) oli luokiteltu tärkeäksi kriittisen sijasta? Kriittisen luokituksen kriteerit ovat kaikkein selkeimmät - haavoittuvuus ja siihen liittyvä tiedote luokitellaan kriittiseksi, jos

1. kyseessä on Remote Code Execution -tyyppinen haavoittuvuus, eli se antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohdejärjestelmässä ja etäältä verkon välityksellä, ja
2. komponentti, joka sisältää haavoittuvuuden, asentuu ja on käytössä oletuskokoonpanossa, eli sen asentamiseen ja käyttöönottoon ei tarvita erillisiä toimia, ja
3. haavoittuvuuden hyödyntäminen ei edellytä käyttäjän toimia, tai edelyttää hyvin vähäisiä käyttäjän toimia, esimerksi selaimella jonkin tietyn hyökkääjän haluaman sivun avaamista.

Esimerkiksi MS06-074-tiedotteessa kuvattu haavoittuvuus täyttää kohdat 1. ja 3., mutta ei kohtaa 2., koska SNMP-palvelu ei ole oletuksena käytössä missään tällä hetkellä tuetussa Windows-versiossa.

MSRC:n käyttämstä kriteereistä löytyy lisätietoja täältä.

Lisäksi on vielä huomattava, että tiedotteen luokitus on korkein luokitus - jos tiedotteessa on kuvattu useita haavoittuvuuksia, joilla on erilainen luokitus, tai luokitus vaihtelee tuoteversioiden välillä, otetaan näistä tedotteen luokitukseksi korkein luokitus. Lisätietoja tiedotteen sisältämien haavoittuvuuksien luokituksista ja luokituksesta eri tuoteversioilla on kunkin tiedotteen Executive Summary -osuudessa.