Sicherheitslücke ist nicht gleich Sicherheitslücke: Microsoft patcht manche Schwachstellen, andere wiederum nicht. Nach welchen Kriterien der Konzern hierbei vorgeht, unterlag bis jetzt der Geheimhaltung. Nun hat Microsoft erstmals bekannt gegeben, welche Bugs und warum ein Sicherheitsupdate auf den Plan rufen.
Bei seinen Patch-Days nimmt sich Microsoft regelmäßig neu entdeckter Sicherheitsprobleme an. Aber welcher Bug schafft es zum Patch-Day und welcher verschwindet in der Versenkung? Diese Frage klärt nun erstmalig ein Kriterienkatalog, welcher die sogenannten „Kriterien zum Ermitteln der Pflegebedürftigkeit“ (Security Servicing Criteria) beinhaltet und auf der Microsoft-Webseite veröffentlicht wurde Auf deren Basis bewertetet das Microsoft Security Response Center (MSRC) extern via Bug Report gemeldete Sicherheitslücken. Zwei Fragen stehen dabei im Mittelpunkt: Ist eine Sicherheitslücke wirklich kritisch oder nur mittelmäßig? Und: Wird eine Sicherheitshürde, die sgn. Security Boundary, damit verletzt bzw. umgegangen?
Inhaltsverzeichnis
Betrifft der Bug Security Boundaries?
Insgesamt gibt es neun solche Boundaries, dabei handelt es sich um ganz klare Verletzungen von Datenzugangs-Richtlinien. Konkret sind die Boundaries Netzwerk, Kernel, Prozess, AppContainer, Sandbox, User, Session Webbrowser, virtuelle Maschine und die Virtual Secure-Mode-Boundary. Jede von ihnen hat ein Sicherheitsupdate zur Folge. Was die Kategorie der Sicherheits-Features betrifft, so sind hier Bugs in Apps und anderen OS-Features gemeint, welche zur Stärkung der Security Boundaries da sind (BitLocker, Secure Boot, Windwos Defender u. a.).
„Defense-in-depth Security Features” nicht vorrangig
Neben diesen beiden kritischen Kategorien von Bugs gibt es noch eine dritte – die „Defense-in-depth Security Features“. Diese werden von Microsoft als nicht so gefährlich wie die anderen beiden gesehen. Es handelt sich dabei um die User Control, AppLocker, Control Flow Guard u. a. Die genaue Liste aller Kategorien kannst du bei Microsoft nachlesen. Eines haben diese Features gemeinsam: Sie werden normalerweise nicht am Patch Tuesday serviciert, sondern später – wenn notwendig. Als Grund für diese späte Reaktion gibt Microsoft an, dass ein Angreifer einen fremden Rechner nur durch eine Sicherheitslücke in einer der Funktionen nicht kontrollieren kann.
Die verschiedenen Features werden im ersten Kriterienkatalog behandelt. Dann gibt es noch einen zweiten zum Thema der verschiedenen Schweregrade von Schwachstellen: kritisch, wichtig, mäßig oder niedrig. Letzteres sind beispielsweise Bugs, die eine Anwendung zum Neustart zwingen. Kritisch werden z. B. Bugs mit Folgen einer Rechteausweitung oder Würmer zur Verbreitung von Malware bewertet. Diese werden dann auch schnellstmöglich behandelt.
Prämiensystem: Manche Bug-Reports zahlen sich nicht wirklich aus
Microsoft wurde in den letzten Jahren mehrfach dafür kritisiert, gewisse Schwachstellen nicht zu fixen, obwohl Forscher Bug-Reports übermittelt hatten. Die jetzige Veröffentlichung der beiden Kriterien-Dokumente hat den Sinn, die Lage für Sicherheitsforscher, die Medien, System-Administratoren und Users gleichermaßen klarzustellen. Auch Microsoft muss seine begrenzten Ressourcen einteilen – und so wird dies auch gemacht. Interessant ist im Zusammenhang mit der Klassifizierung der Bugs auch die Prämie, die ein Bug Report erhält. Diese ist nämlich ebenfalls abhängig von der Schwere und Art der Schwachstelle. Gewisse Bugs zahlen sich finanziell also gar nicht aus, entdeckt zu werden …
Quelle: heise.de, ZDNet.com
Erstellt am: 18. September 2018