(Bild: geralt) Microsoft legt erstmals offen, nach welchen Kriterien sie gemeldete Schwachstellen klassifizieren und welche Lücken ein Update bekommen und welche nicht. "Kriterien zum Ermitteln der Pflegebedürftigkeit" nennt Microsoft sinngemäß die Kriterien, anhand derer das Microsoft Security Response Center (MSRC) die von externen Sicherheitsforschern gemeldeten Bugs klassifiziert. Das MSRC stellt zum Klassifizieren zwei Fragen: Verletzt die Schwachstelle eine Sicherheitshürde (Security Boundary) beziehungsweise unterläuft sie deren Zweck? Und ist der Bug schwerwiegend genug? Diese "Security Servicing Criteria" kann man nun auf einer Webseite von Microsoft einsehen. Interessant für alle Sicherheitsforscher: Microsoft legt damit auch offen, für welche Bugs das Unternehmen Prämien zahlt. Voraussetzungen für Sicherheitsupdates Zu den Boundaries gehören beispielsweise die Trennung zwischen Kernel- und User-Mode, das Verhindern des Zugriffs von einer auf Hyper-V betriebenen virtuellen Maschine (VM) auf Daten einer anderen VM oder das Unterbinden des Zugriffs auf Daten oder Code auf einem Endgerät durch einen hierzu nicht berechtigten Knoten in einem Netzwerk. Wird eine dieser insgesamt neun Boundaries verletzt, steht prinzipiell ein Sicherheitsupdate an. Das gleiche gilt auch, wenn der Bug eine von neun Sicherheitsfunktionen – darunter etwa BitLocker, SecureBoot oder Windows Hello – aushebelt. Auch die fehlerhafte Implementierung eines Krypto-Algorithmus will Microsoft zum nächstmöglichen Zeitpunkt per Update geraderücken. Keine Notwendigkeit für Patches Kein Update – und somit auch keine Bug-Prämie – hingegen ziehen Schwachstellen nach sich, die die Benutzerkontensteuerung (User Access Control, UAC) umschiffen. UAC gehört zusammen mit 15 anderen Funktionen, darunter auch AppLocker und der Speicherschutz ASLR, zu "Defense-in-depth Security Features". Immerhin führt das Umgehen von sieben dieser Funktionen zu einer Bug-Prämie. Microsoft schließt derartige Schwachstellen aber nicht im Rahmen des monatlichen Patchdays, sondern erst in einer kommenden Version der Sicherheitsfunktion – wenn überhaupt. Sie begründen dies damit, dass ein krimineller Hacker alleinig durch das Ausnutzen einer Schwachstelle in einer der Funktionen keinen fremden Rechner unter seine Kontrolle bekommt. Dies ist nur durch Social Engineering oder in Kombination mit einem weiteren Bug möglich, der eine der Security Boundaries überwindet. Bedrohungsgrad von Sicherheitslücken Die Frage nach dem Schweregrad (kritisch, wichtig, mäßig oder niedrig) beantwortet das MSRC anhand eines jetzt ebenfalls veröffentlichten Kriterienkatalogs, der zwischen Server und Desktop-Computer unterscheidet. Beispielsweise eine Lücke, über die sich eine Malware selbständig von Rechner zu Rechner verteilt (Wurm), ist "kritisch" und wird mit Nachdruck behoben. Das gleiche gilt für eine Rechteausweitung, also einen Bug, der einem Angreifer mitunter Systemrechte verschafft, sodass er beliebigen Code ausführen kann. Auch die Manipulation des Hosts durch eine VM sieht Microsoft als "kritisch" an. Bugs, die hingegen nur zu einem Neustart einer Anwendung führen, klassifiziert Redmond als "niedrig". (Uli Ries) / (des)
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
(Bild: geralt) Microsoft legt erstmals offen, nach welchen Kriterien sie gemeldete Schwachstellen klassifizieren und welche Lücken ein Update bekommen und welche nicht. "Kriterien zum Ermitteln der Pflegebedürftigkeit" nennt Microsoft sinngemäß die Kriterien, anhand derer das Microsoft Security Response Center (MSRC) die von externen Sicherheitsforschern gemeldeten Bugs klassifiziert. Das MSRC stellt zum Klassifizieren zwei Fragen: Verletzt die Schwachstelle eine Sicherheitshürde (Security Boundary) beziehungsweise unterläuft sie deren Zweck? Und ist der Bug schwerwiegend genug? Diese "Security Servicing Criteria" kann man nun auf einer Webseite von Microsoft einsehen. Interessant für alle Sicherheitsforscher: Microsoft legt damit auch offen, für welche Bugs das Unternehmen Prämien zahlt. Voraussetzungen für Sicherheitsupdates Zu den Boundaries gehören beispielsweise die Trennung zwischen Kernel- und User-Mode, das Verhindern des Zugriffs von einer auf Hyper-V betriebenen virtuellen Maschine (VM) auf Daten einer anderen VM oder das Unterbinden des Zugriffs auf Daten oder Code auf einem Endgerät durch einen hierzu nicht berechtigten Knoten in einem Netzwerk. Wird eine dieser insgesamt neun Boundaries verletzt, steht prinzipiell ein Sicherheitsupdate an. Das gleiche gilt auch, wenn der Bug eine von neun Sicherheitsfunktionen – darunter etwa BitLocker, SecureBoot oder Windows Hello – aushebelt. Auch die fehlerhafte Implementierung eines Krypto-Algorithmus will Microsoft zum nächstmöglichen Zeitpunkt per Update geraderücken. Keine Notwendigkeit für Patches Kein Update – und somit auch keine Bug-Prämie – hingegen ziehen Schwachstellen nach sich, die die Benutzerkontensteuerung (User Access Control, UAC) umschiffen. UAC gehört zusammen mit 15 anderen Funktionen, darunter auch AppLocker und der Speicherschutz ASLR, zu "Defense-in-depth Security Features". Immerhin führt das Umgehen von sieben dieser Funktionen zu einer Bug-Prämie. Microsoft schließt derartige Schwachstellen aber nicht im Rahmen des monatlichen Patchdays, sondern erst in einer kommenden Version der Sicherheitsfunktion – wenn überhaupt. Sie begründen dies damit, dass ein krimineller Hacker alleinig durch das Ausnutzen einer Schwachstelle in einer der Funktionen keinen fremden Rechner unter seine Kontrolle bekommt. Dies ist nur durch Social Engineering oder in Kombination mit einem weiteren Bug möglich, der eine der Security Boundaries überwindet. Bedrohungsgrad von Sicherheitslücken Die Frage nach dem Schweregrad (kritisch, wichtig, mäßig oder niedrig) beantwortet das MSRC anhand eines jetzt ebenfalls veröffentlichten Kriterienkatalogs, der zwischen Server und Desktop-Computer unterscheidet. Beispielsweise eine Lücke, über die sich eine Malware selbständig von Rechner zu Rechner verteilt (Wurm), ist "kritisch" und wird mit Nachdruck behoben. Das gleiche gilt für eine Rechteausweitung, also einen Bug, der einem Angreifer mitunter Systemrechte verschafft, sodass er beliebigen Code ausführen kann. Auch die Manipulation des Hosts durch eine VM sieht Microsoft als "kritisch" an. Bugs, die hingegen nur zu einem Neustart einer Anwendung führen, klassifiziert Redmond als "niedrig". (Uli Ries) / (des)