af Martin Brinkmann på September 11, 2018 i Windows – Sidste Opdatering: September 11, 2018 – 2 kommentarer
Microsoft har udgivet to security-relaterede dokumenter for nylig, at beskrive, hvordan virksomheden bestemmer sværhedsgrad niveau af sårbarheder, og hvordan det gøres når at frigive opdateringer.
Det første dokument, Microsoft Sårbarhed Alvor Klassificering af Vinduer, lister oplysninger, som Microsoft Security Response Center bruger til at klassificere sværhedsgraden af sikkerhedsspørgsmål videregives til virksomheden eller fundet af medarbejdere i virksomheden.
Microsoft skelner mellem server og klient-systemer, og klassificerer sårbarheder i overensstemmelse hermed.
Visse sårbarhed eller angreb egenskaber kan føre til højere eller lavere sværhedsgrad ratings.
Klient versioner af Windows
- Kritiske — Sårbarheder, der kan udnyttes uden advarsler eller bliver bedt om. Eksempler omfatter ekstern udvidelse af rettigheder udnytter, at gøre det muligt for angribere at skrive til filsystemet, eller udføre vilkårlig kode uden brugerens interaktion.
- Vigtigt — De vigtigste skelne faktor mellem kritisk og vigtig for klassificeringen er, at vigtige sårbarheder udnyttes med advarsler eller bliver bedt om, eller via omfattende aktioner uden prompt. Som eksempler kan nævnes lokale optrapning af rettigheder udnytter eller udførelse af vilkårlig kode, der kræver omfattende brugerhandling.
- Moderat — Moderat sikkerhedsrisici kan give en hacker mulighed for at hente information fra systemer, fx via ikke-krypterede forbindelser eller spoofing. Indeholder også nogle denial-of-service-angreb.
- Lav — Den laveste sikkerhedsklassifikation omfatter angreb, som er af midlertidig karakter, fx lammelsesangreb (Denial of Service) eller ændring af data, der ikke fortsætter på tværs af sessioner.
Server versioner af Windows
- Kritiske — Server sårbarheder som net-orme, der kompromis serveren. Exampls omfatter uautoriseret adgang til filer og SQL-injection angreb.
- Vigtigt — Sårbarheder, såsom denial of service-angreb eller udvidelse af rettigheder angreb, der ikke er standard, eller for hvilke der afhjælpninger findes, som kan forhindre kritiske scenarier.
- Moderat — Sårbarheder, der normalt kræver specifikke scenarier, bestemte steder, eller andre forudsætninger.
- Lav — offentliggørelse af Oplysninger og manipulation, der er specifikke eller ikke er målrettet.
Microsoft Security Service Kriterier for Windows
Microsoft afslørede i et andet dokument, hvordan det bestemmer, hvornår at offentliggøre sikkerhedsopdateringer for sårbarheder.
Windows-brugere og administratorer vide, at Microsoft udsender sikkerhedsopdateringer den anden tirsdag i hver måned, og det er den mest almindelige tidspunkt for offentliggørelse. Nogle sikkerhedsopdateringer er nødt til at blive frigivet øjeblikkeligt i stedet; at det er tilfældet for sårbarheder, der udnyttes aktivt og på skalaen. Andre sikkerhedsopdateringer kan ikke få frigivet straks eller i løbet af Patch tirsdag, da de er udsat til næste opdatering til funktionen til en bestemt version af Windows.
Microsoft Security Service Kriterier for Windows detaljer processen med at afgøre, hvornår de skal frigive patches. To spørgsmål er meget vigtige, når det kommer til at:
- Gør sårbarheden overtræder målet eller hensigten med en sikkerhed grænse eller en sikkerhedsfunktion?
- Gør alvor af sårbarhed opfylde bar for service?
Microsoft-sikkerhedsopdateringer oprettes for sårbarheder hvis svaret på begge spørgsmål er ja. Hvis mindst et svar er nej, Microsoft kan udskyde opdateringen til den næste version eller release af Windows.
Dokumentet indeholder oplysninger om sikkerhed grænser, funktioner og defense-in-depth sikkerhed funktioner såvel.
- Sikkerhed Grænse – En sikkerhed grænse giver en logisk adskillelse mellem kode og data sikkerhed domæner med forskellige niveauer af tillid
- Sikkerhedsfunktioner — sikkerhedsfunktioner bygge på sikkerhed grænser er med til at give god beskyttelse mod specifikke trusler.
- Defense-in-depth sikkerhedsfunktioner — I nogle tilfælde, en sikkerhedsfunktion, der kan yde beskyttelse mod en trussel, uden at være i stand til at give et robust forsvar. Disse sikkerhedsfunktioner er typisk benævnt defense-in-depth funktioner eller afhjælpninger, fordi de giver yderligere sikkerhed, men kan have af design begrænsninger, der forhindrer dem i fuldt ud at afbøde en trussel
Afsluttende Ord
De to offentliggjorte dokumenter kaste lys på sikkerhedsklassifikation ordning, som Microsoft bruger til at klassificere sårbarheder, og hvordan virksomheden bestemmer, hvornår de skal producere sikkerhedsmæssige opdateringer til problemer, og når at skubbe sikkerhedsopdateringer til nyere versioner af Windows. (via Günter Født)