Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Veröffentlichung von Informationen

Diese Metrik spiegelt den Kontext wider, in dem eine Ausnutzung von Sicherheitsanfälligkeiten möglich ist. Der Base Score steigt, je weiter entfernt (logisch und physisch) ein Angreifer sein kann, um die von der Sicherheitanfälligkeit betroffene Komponente auszunutzen.

Die von der Sicherheitsanfälligkeit betroffene Komponente ist an den Netzwerkstapel gebunden, und die Gruppe der möglichen Angreifer erstreckt sich über die übrigen aufgeführten Optionen hinaus bis hin zum gesamten Internet. Eine solche Sicherheitsanfälligkeit wird oft als „remote ausnutzbar“ bezeichnet und kann als ein Angriff betrachtet werden, dessen Ausnutzbarkeit auf der Protokollebene einen oder mehrere Netzwerksprünge entfernt ist (z. B. über einen oder mehrere Router).

Diese Metrik beschreibt die Bedingungen, auf die der Angreifer keinen Einfluss hat und die vorhanden sein müssen, um die Sicherheitsanfälligkeit auszunutzen. Solche Bedingungen können die Sammlung weiterer Informationen über das Ziel oder Berechnungsausnahmen erfordern. Die Bewertung dieser Metrik schließt jegliche Anforderungen an die Interaktion des Benutzers zur Ausnutzung der Sicherheitsanfälligkeit aus. Wenn für den Erfolg eines Angriffs eine bestimmte Konfiguration erforderlich ist, sind die Base-Metriken unter der Annahme zu bewerten, dass die von der Sicherheitsanfälligkeit betroffene Komponente in dieser Konfiguration vorhanden ist.

Spezielle Zugriffsbedingungen oder besondere Umstände liegen nicht vor. Ein Angreifer kann mit wiederholbaren Erfolgen gegen die von der Sicherheitsanfälligkeit betroffene Komponente rechnen.

Diese Metrik beschreibt die Berechtigungsstufe, die ein Angreifer besitzen muss, bevor die Sicherheitsanfälligkeit erfolgreich ausgenutzt werden kann.

Der Angreifer ist vor dem Angriff nicht autorisiert und benötigt daher keinen Zugriff auf Einstellungen oder Dateien, um einen Angriff durchzuführen.

Diese Metrik erfasst die Anforderung an einen Benutzer, der nicht der Angreifer ist, an der erfolgreichen Kompromittierung der von der Sicherheitsanfälligkeit betroffenen Komponente mitzuwirken. Diese Metrik gibt an, ob die Ausnutzung der Sicherheitsanfälligkeit vom Angreifer allein absichtlich ausgelöst werden kann, oder ob ein separater Benutzer (oder ein vom Benutzer initiierter Prozess) in irgendeiner Weise mitwirken muss.

Das von der Sicherheitsanfälligkeit betroffene System kann ohne jegliche Interaktion eines Benutzers missbraucht werden.

Wirkt sich ein erfolgreicher Angriff auf eine andere als die von der Sicherheitsanfälligkeit betroffene Komponente aus? Wenn dies der Fall ist, erhöht sich der Base Score und die Metriken Vertraulichkeit, Integrität und Authentifizierung sind in Relation zu der betroffenen Komponente zu bewerten.

Eine Sicherheitsanfälligkeit, die missbraucht wird, kann nur Ressourcen betreffen, die von derselben Sicherheitsautorität verwaltet werden. In diesem Fall sind die von der Sicherheitsanfälligkeit betroffene Komponente und die betroffene Komponente entweder identisch, oder beide werden von derselben Sicherheitsautorität verwaltet.

Diese Metrik gibt an, wie sich eine erfolgreiche Ausnutzung einer Sicherheitsanfälligkeit auf die Vertraulichkeit der von einer Softwarekomponente verwalteten Informationsressourcen auswirkt. Vertraulichkeit umfasst die Beschränkung des Zugriffs auf und der Offenlegung von Informationen auf autorisierte Benutzer sowie die Verhinderung des Zugriffs oder der Offenlegung gegenüber Unbefugten.

Es gibt einen gewissen Verlust der Vertraulichkeit. Es wird zwar Zugriff auf einige beschränkte Informationen erlangt, aber der Angreifer hat keine Kontrolle darüber, welche Informationen er erhält, oder der Umfang oder die Art des Verlusts ist begrenzt. Die Veröffentlichung von Informationen führt nicht zu einem direkten, ernsthaften Verlust bei der betroffenen Komponente.

Diese Metrik gibt an, welche Auswirkungen auf die Integrität sich aus der erfolgreichen Ausnutzung einer Sicherheitsanfälligkeit ergeben. Integrität umfasst die Vertrauenswürdigkeit und Richtigkeit von Informationen.

Eine Änderung von Daten ist möglich, aber der Angreifer hat keine Kontrolle über die Folgen einer Änderung oder der Umfang der Änderung ist begrenzt. Die Änderung der Daten hat keine direkten, schwerwiegenden Auswirkungen auf die betroffene Komponente.

Diese Metrik gibt die Auswirkungen auf die Verfügbarkeit der betroffenen Komponente an, die sich aus einer erfolgreichen Ausnutzung einer Sicherheitsanfälligkeit ergeben. Sie bezieht sich auf den Verlust der Verfügbarkeit der betroffenen Komponente selbst, wie z. B. eines vernetzten Dienstes (z. B. Internet, Datenbank, E-Mail). Da sich Verfügbarkeit auf die Zugänglichkeit von Informationsressourcen bezieht, wirken sich alle Angriffe, die Netzwerkbandbreite, Prozessorzyklen oder Speicherplatz belasten, auf die Verfügbarkeit einer betroffenen Komponente aus.

Die Leistung wird reduziert oder es kommt zu Unterbrechungen der Ressourcenverfügbarkeit. Selbst wenn eine wiederholte Ausnutzung der Sicherheitsanfälligkeit möglich ist, kann der Angreifer den legitimen Benutzern den Dienst nicht vollständig verweigern. Die Ressourcen in der betroffenen Komponente sind entweder die ganze Zeit teilweise oder nur zeitweise vollständig verfügbar. Insgesamt gibt es jedoch keine direkten, schwerwiegenden Folgen für die betroffene Komponente.

Diese Metrik gibt die Wahrscheinlichkeit eines Angriffs auf das Sicherheitsrisiko an und basiert in der Regel auf dem aktuellen Stand der Exploit-Techniken, der öffentlichen Verfügbarkeit von Exploit-Code oder dem aktiven Exploit „in freier Wildbahn“.

Es ist kein öffentlich zugänglicher Exploit-Code verfügbar, oder ein Exploit ist theoretisch.

Der Behebungsgrad einer Sicherheitsanfälligkeit ist ein wichtiger Faktor für die Priorisierung. Für eine typische Sicherheitsanfälligkeit gibt es bei der Erstveröffentlichung keine Patches. Problemumgehungen oder Hotfixes können eine vorläufige Abhilfe bieten, bis ein offizieller Patch oder ein Upgrade herausgegeben wird. Jede dieser jeweiligen Stufen führt zu einer Anpassung des Temporal Scores nach unten, was die abnehmende Dringlichkeit mit zunehmender Wirksamkeit der Abhilfemaßnahmen widerspiegelt.

Eine vollständige Anbieterlösung ist verfügbar. Der Anbieter hat entweder einen offiziellen Patch bereitgestellt, oder es ist ein Upgrade verfügbar.

Diese Metrik gibt den Grad der Gewissheit über die Existenz der Sicherheitsanfälligkeit und die Glaubwürdigkeit der bekannten technischen Details an. Manchmal wird nur das Vorhandensein von Sicherheitsanfälligkeiten öffentlich bekannt gemacht, jedoch ohne konkrete Einzelheiten. Beispielsweise kann eine Auswirkung als unerwünscht erkannt werden, aber die Grundursache ist möglicherweise nicht bekannt. Spätere Recherchen zu der Sicherheitsanfälligkeit können diese bestätigen. Sie liefern Anhaltspunkte dafür, wo die Sicherheitsanfälligkeit liegen könnte, auch wenn die Recherchen möglicherweise nicht gesichert sind. Schließlich kann eine Sicherheitsanfälligkeit durch die Bestätigung des Autors oder Anbieters der betroffenen Technologie bestätigt werden. Die Dringlichkeit einer Sicherheitsanfälligkeit ist höher, wenn bekannt ist, dass eine Sicherheitsanfälligkeit mit Sicherheit besteht. Diese Metrik gibt auch Hinweise auf das Niveau des technischen Wissens, das potentiellen Angreifern zur Verfügung steht.

Es liegen ausführliche Berichte vor oder es besteht die Möglichkeit einer funktionierenden Reproduktion (funktionierende Exploits können dies ermöglichen). Der Quellcode ist verfügbar, damit die Rechercheergebnisse unabhängig bestätigt werden können, oder der Autor oder Anbieter des betroffenen Codes hat das Vorhandensein der Sicherheitsanfälligkeit bestätigt.