Microsoft segue particolari criteri di classificazione per stabilire la severità di un bug di sicurezza, e solo se tutte le condizioni vengono rispettate si procede alla realizzazione di una patch correttiva vera e propria.
Come la puntuale, costante e immancabile distribuzione di patch e aggiornamenti ogni martedì del mese sta a dimostrare, le vulnerabilità di sicurezza continuano a rappresentare uno degli impegni più gravosi e pressanti per gli sviluppatori di Microsoft. Aggiornare le versioni supportate di Windows tramite il Patch Tuesday è un rito a cui quasi nessun utente di PC può sottrarsi, ma la scoperta di una vulnerabilità di sicurezza non equivale necessariamente alla realizzazione di un bugfix correttivo se non vengono rispettati particolari criteri di pericolosità e gravità.
Stando al documento ufficiale in cui Microsoft spiega il modo in cui la corporation classifica le vulnerabilità di sicurezza, il livello di pericolosità dei bug viene trattato in maniera diversa per le versioni client di Windows e per quelle server. Per le release client di Windows, una falla di sicurezza può essere classificata in accordo ai seguenti livelli di gravità:
- Critico: un bug di sicurezza raggiunge il massimo grado di pericolosità quando può essere sfruttato da hacker e cyber-criminali senza provocare alcun allarme negli utenti. Una falla per l’elevazione remota dei privilegi, o una per l’esecuzione automatica di codice arbitrario da remoto rientrano in questa categoria.
- Importante: se un bug di sicurezza provoca un allarme sul sistema dell’utente, oppure richiede un gran numero di azioni per essere sfruttato a dovere, allora viene classificato con un livello di pericolosità inferiore. A tale categoria appartengono gli exploit per l’elevazione locale dei privilegi di accesso o l’esecuzione di codice arbitrario tramite il coinvolgimento attivo dell’utente.
- Moderato: un bug di sicurezza “moderato” può essere sfruttato per recuperare informazioni non sicure dal sistema, oppure per condurre alcuni tipi di attacchi DoS.
- Basso: il gradino più basso è riservato ai bug sfruttabili per attacchi di natura temporanea, ad esempio attacchi DoS oppure modifiche di dati che non persistono tra una sessione di sistema e l’altra.
Per quanto riguarda le versioni Server di Windows, invece, Microsoft considera i seguenti criteri per classificare la pericolosità di un bug di sicurezza:
- Critico: una vulnerabilità critica è un bug in grado compromettere il server tramite l’azione di un worm, di accedere ai file senza autorizzazione o di portare alla compromissione di database SQL (SQL Injection).
- Importante: una vulnerabilità sfruttabile per condurre attacchi DoS contro il server oppure per elevare i privilegi di accesso dell’account tramite sistemi “non standard” si guadagna la classificazione di bug importante.
- Moderato: un bug moderato richiede la presenza di scenari o condizioni specifici per poter essere sfruttato a dovere.
- Basso: una falla sfruttabile per carpire o compromettere informazioni in maniera specifica viene classificata con il livello di pericolosità più basso.
Le Patch si, ma quando?
Una volta stabilito il livello di pericolosità di una vulnerabilità di sicurezza, gli sviluppatori di Microsoft si pongono le seguenti due domande prima di mettersi al lavoro su una patch correttiva:
- Il bug viola l’obiettivo o l’intento di un limite di sicurezza (network, kernel, browser Web, virtual machine) o una funzionalità di sicurezza?
- La gravità del bug è tale da raggiungere i criteri per cui è necessario realizzare una patch correttiva?
Se la risposta è positiva a entrambe le questioni, allora Microsoft procede alla realizzazione di un update o rende note tutte le istruzioni necessarie a neutralizzare il pericolo. Il grosso delle patch viene in genere rilasciato tramite il Patch Tuesday, ma in alcuni rari casi il rischio può essere tale da spingere la corporation a fare uno strappo alla regola distribuendo un aggiornamento “fuori tempo”. Magari persino per un sistema operativo non più ufficialmente supportato da anni come già successo nel recente passato.