door Martin Brinkmann op September 11, 2018 in Windows – Laatste Update: September 11, 2018 – 2 reacties
Microsoft publiceerde twee security-gerelateerde documenten onlangs die beschrijven hoe het bedrijf bepaalt de ernst van de kwetsbaarheden en hoe het besluit wanneer om te laat de updates.
Het eerste document, Microsoft Kwetsbaarheid Ernst Indeling voor Windows, bevat informatie die Microsoft Security Response Center gebruikt voor het classificeren van de ernst van de problemen met de beveiliging verstrekt aan de vennootschap of gevonden door werknemers van de onderneming.
Microsoft maakt een onderscheid tussen server en client systemen, en classificeert kwetsbaarheden dienovereenkomstig.
Bepaalde kwetsbaarheid of een aanval kenmerken kan leiden tot een hogere of lagere ernst.
Client-versies van Windows
- Kritische — Kwetsbaarheden die kan worden benut zonder waarschuwingen of aanwijzingen. Voorbeelden zijn externe misbruik van de bevoegdheden exploits die aanvallers te schrijven naar het bestand systeem, of het uitvoeren van willekeurige code zonder interactie van de gebruiker.
- Belangrijk — De belangrijkste onderscheidende factor tussen kritieke en belangrijke ernst is dat belangrijke kwetsbaarheden worden misbruikt met waarschuwingen of aanwijzingen, of via tal van acties zonder aanwijzing. Voorbeelden zijn lokale escalatie van bevoegdheden exploits of het uitvoeren van willekeurige code dat vereist een uitgebreide actie van de gebruiker.
- Matige — Matige kwetsbaarheden kan een aanvaller voor het ophalen van informatie uit systemen, bijvoorbeeld door middel van niet-versleutelde verbindingen of spoofing. Bevat ook een aantal denial of service-aanvallen.
- Laag — De laagste prioriteitsniveau omvat aanvallen die van tijdelijke aard zijn, bijvoorbeeld een Denial-of-Service of wijzigen van gegevens die niet blijft bestaan in verschillende sessies.
Server versies van Windows
- Kritische — Server kwetsbaarheden, zoals netwerk-wormen die een gevaar opleveren voor de server. Exampls zijn ongeoorloofde toegang tot bestanden en SQL-injectie aanvallen.
- Belangrijk — Kwetsbaarheden, zoals denial of service-aanvallen en-misbruik van de bevoegdheden aanvallen die niet-standaard of voor welke oplossingen bestaan die kunnen voorkomen dat kritische scenario ‘ s.
- Matige — Kwetsbaarheden die meestal vereisen specifieke scenario ‘ s, specifieke locaties, of andere vereisten.
- Laag — openbaarmaking van Informatie en manipulatie die specifiek zijn of niet gericht.
Microsoft Security Onderhoud Criteria voor Windows
Microsoft onthuld in een tweede document hoe het bepaalt wanneer te publiceren security updates voor beveiligingsproblemen.
Windows-gebruikers en beheerders weten dat de versies van Microsoft security updates op de tweede dinsdag van elke maand en dat is de meest voorkomende tijd voor de release. Bepaalde beveiligingsupdates moeten onmiddellijk worden vrijgelaten in de plaats; dat is het geval voor de beveiligingsproblemen die worden uitgebuit actief en op schaal. Andere security-updates worden mogelijk niet onmiddellijk vrijgegeven of tijdens Patch Tuesday als ze worden uitgesteld tot de volgende update functie voor een bepaalde versie van Windows.
Microsoft Security Onderhoud Criteria voor Windows details van het proces van het bepalen van het moment waarop release patches. Twee vragen zijn erg belangrijk als het er op aan komt:
- Heeft het beveiligingslek in strijd met het doel of de bedoeling de veiligheid van een grens of een beveiligingsfunctie?
- Niet de ernst van de kwetsbaarheid aan de bar voor het onderhoud?
Microsoft maakt beveiligings-updates voor beveiligingsproblemen als het antwoord op beide vragen is ja. Als minstens één antwoord is nee, Microsoft is mogelijk in het uitstellen van de update naar de volgende versie of release van Windows.
Het document geeft informatie over security grenzen, functies en uitgebreide beveiligingsfuncties.
- Beveiligingsgrens — Een beveiliging grens biedt een logische scheiding tussen de code en de gegevens van security domeinen met verschillende niveaus van vertrouwen
- Beveiligingsfuncties — beveiligingsfuncties bouwen op zekerheid grenzen te leveren robuuste bescherming tegen specifieke dreigingen.
- Defense-in-depth beveiligingsfuncties — In sommige gevallen, een beveiligingsfunctie kan bescherming bieden tegen een dreiging te kunnen zorgen voor een robuuste verdediging. Deze functies worden meestal aangeduid als defense-in-depth functies of oplossingen, omdat ze zorgen voor extra veiligheid, maar kan door het ontwerp beperkingen die voorkomen dat ze volledig verzachtende een bedreiging
Slotwoord
De twee gepubliceerde documenten werpen enig licht op de prioriteitsniveau regeling die Microsoft gebruikt voor het classificeren van kwetsbaarheden en hoe het bedrijf bepaalt wanneer te produceren security updates voor de problemen en wanneer het te druk security updates naar nieuwere versies van Windows. (via Günter Geboren)