Panel chyb zabezpečení SDL (ukázka)

  • Článek
  • 12 min ke čtení

Kompletní matici scénářů serveru DoS najdete v matici Odmítnutí služby.

Panel serveru obvykle není vhodný, pokud je součástí procesu využívání interakce uživatelů. Pokud kritická chyba zabezpečení existuje jenom u serverových produktů a zneužívá se způsobem, který vyžaduje interakci uživatelů a vede k ohrožení zabezpečení serveru, může být závažnost snížena z Kritická na Důležitá v souladu s definicí ÚHLEDNÉ/datové definice rozsáhlých interakcí uživatelů prezentovaných na začátku kontingenční tabulky závažnosti klienta.

Server
Kritická

Shrnutí serveru: Síťové červy nebo případy, kdy je server "vlastněný".

  • Zvýšení oprávnění: Možnost spustit libovolný kód nebo získat víc oprávnění, než je povoleno

    • Vzdálený anonymní uživatel

      • Příklady:

        • Neoprávněný přístup k systému souborů: libovolný zápis do systému souborů

        • Provedení libovolného kódu

        • SQL (to umožňuje spuštění kódu)

    • Všechna porušení přístupu k zápisu (AV), zneužítelná čtená AVs nebo přetečení celého čísla ve vzdáleném anonymně volatelném kódu
Důležité:

Shrnutí serveru: Jiné než výchozí kritické scénáře nebo případy, kdy existují skutečnosti snižující závažnost rizika, které můžou pomoct zabránit kritickým scénářům.

  • Odmítnutí služby: Musí být "snadno zneužít" odesláním malého množství dat nebo jinak rychle vyvolané

    • Anonymní

      • Trvalé dos

        • Příklady:

          • Odeslání jednoho škodlivého paketu TCP vede k modré obrazovce smrti (BSoD)

          • Posílání malého počtu paketů, které způsobují selhání služby

      • Dočasný DoS se zesílčováním

        • Příklady:

          • Posílání malého počtu paketů, které způsobí, že systém nebude po určitou dobu použitelný

          • Webový server (například IIS) je na minutu nebo déle dole.

          • Jeden vzdálený klient využívající všechny dostupné prostředky (relace, paměť) na serveru tím, že navádí relace a udržuje je otevřený.

    • Ověřeno

      • Trvalý DoS proti majetku s vysokou hodnotou

        • Příklad:

          • Posílání malého počtu paketů, které způsobují selhání služby pro aktiva s vysokou hodnotou v rolích serveru (server certifikátů, server Kerberos, řadič domény), například když uživatel ověřený doménou může v řadiči domény provést DoS

  • Zvýšení oprávnění: Možnost spustit libovolný kód nebo získat víc oprávnění, než bylo zamýšleno

    • Vzdálený ověřený uživatel

    • Místní ověřený uživatel (Terminálový server)

      • Příklady:

        • Neoprávněný přístup k systému souborů: libovolný zápis do systému souborů

        • Provedení libovolného kódu

    • V kódu, ke kterým můžou přistupovat vzdálení nebo místní ověření uživatelé, kteří nejsou správci, zapisují všechny hodnoty typu AVs, zneužitelné čtené AVs nebo přetečení celých čísel (scénáře správců nemají podle definice žádné obavy o zabezpečení, ale přesto se jedná o problémy se spolehlivostí.)

  • Zpřístupnění informací (cílené)

    • Případy, kdy útočník může vyhledat a číst informace odkudkoli v systému, včetně informací o systému, které nebyly zamýšleny nebo určené k vystavení

      • Příklady:

        • Prozrazení osobních údajů

          • Zveřejnění PII (e-mailové adresy, telefonní čísla, informace o platební kartě)

          • Útočník může shromažďovat osobní údaje bez souhlasu uživatele nebo skrytě

  • Falšování falšování

    • Entita (počítač, server, uživatel, proces) se může podle svého výběru maskovat jako konkrétní entita(uživatel nebo počítač).

      • Příklady:

        • Webový server nesprávně používá ověřování klientských certifikátů (SSL), aby mohl být útočník identifikován jako kterýkoli uživatel podle svého výběru.

        • Nový protokol je navržený tak, aby poskytoval vzdálené ověřování klientů, ale v protokolu existuje chyba, která umožňuje, aby byl vzdálený uživatel se zlými úmysly vnín jako jiný uživatel podle svého výběru.

  • Manipulace

    • Změna jakýchkoli dat "aktiva s vysokou hodnotou" v běžném nebo výchozím scénáři, ve kterém se změny po restartování softwaru, na který se tato chyba týká, přetrvávají

    • Trvalé nebo trvalé změny dat uživatelů nebo systémů používaných ve společném nebo výchozím scénáři

      • Příklady:

        • Úpravy datových souborů nebo databází aplikací v běžném nebo výchozím scénáři, jako je například ověřená SQL injektáž

        • Otrava mezipaměti proxy serveru v běžném nebo výchozím scénáři

        • Změna nastavení operačního systému nebo aplikace bez souhlasu uživatele ve společném nebo výchozím scénáři

  • Funkce zabezpečení: Přerušování nebo obejití všech funkcí zabezpečení, které jsou k dispozici.
    Upozorňujeme, že zranitelnost funkce zabezpečení je ve výchozím nastavení hodnocena jako důležitá, ale hodnocení může být upraveno na základě dalších hledisek, jak je uvedená v řádku chyb SDL.

    • Příklady:

      • Zakázání nebo obejití brány firewall bez informování uživatelů nebo získání souhlasu

      • Změna konfigurace brány firewall a povolení připojení k jiným procesům
Středně těžké

  • Odmítnutí služby

    • Anonymní

      • Dočasný DoS bez amplifikace ve výchozí nebo běžné instalaci.

        • Příklad:

          • Více vzdálených klientů využívajících všechny dostupné prostředky (relace, paměť) na serveru tím, že navazují relace a udržují je otevřené

    • Ověřeno

      • Trvalé dos

        • Příklad:

          • Přihlášený Exchange může odeslat konkrétní e-mailovou zprávu a chybovému Exchange Server a k chybovému uhodu nespadne zápis AV, zneužitelné čtené AV nebo přetečení celé číslo.

      • Dočasný dos s amplifikace ve výchozí nebo běžné instalaci

        • Příklad:

          • Běžný SQL Server spustí uloženou proceduru nainstalovanou některým produktem a za několik minut spotřebuje 100 % procesoru.

  • Zpřístupnění informací (cílené)

    • Případy, kdy útočník může snadno číst informace o systému z konkrétních míst , včetně informací o systému, které nebyly zamýšlené nebo určené k vystavení.

      • Příklad:

        • Cílené zpřístupnění anonymních dat

        • Cílené zveřejnění existence souboru

        • Cílené zveřejnění čísla verze souboru

  • Falšování falšování

    • Entita (počítač, server, uživatel, proces) může maskovat jako jinou náhodnou entitu, kterou nelze specificky vybrat.

      • Příklad:

        • Klient se správně ověřuje na serveru, ale server předá relaci jinému náhodnému uživateli, který je současně připojený k serveru.

  • Manipulace

    • Trvalé nebo trvalé změny dat uživatelů nebo systémů v určitém scénáři

      • Příklady:

        • Úpravy datových souborů nebo databází aplikace v konkrétním scénáři

        • Otrava mezipaměti proxy serveru v konkrétním scénáři

        • Změna nastavení operačního systému nebo aplikace bez souhlasu uživatele v konkrétním scénáři

    • Dočasná úprava dat v běžném nebo výchozím scénáři, která po restartování operačního systému/aplikace/relace nezachová

  • Zajištění zabezpečení:

    • Zajištění zabezpečení je buď funkce zabezpečení, nebo jiná funkce nebo funkce produktu, kterou zákazníci očekávají, že nabízejí ochranu zabezpečení. Komunikace nám (výslovně nebo implicitně) předá, že zákazníci se mohou spolehnout na integritu této funkce, a to z něj dělá záruku zabezpečení. Bulletiny zabezpečení se uvolní kvůli nedostatku v zajištění zabezpečení, které narušuje spolehlivost nebo důvěru zákazníka.

      • Příklady:

        • Procesy spuštěné s normálními oprávněními "uživatel" nemohou získat oprávnění správce, pokud heslo/přihlašovací údaje správce nebyly poskytnuty záměrně autorizovanými metodami.

        • Internetový JavaScript spuštěný v Internet Exploreru nemůže řídit nic z hostitelského operačního systému, pokud uživatel výslovně nezměnil výchozí nastavení zabezpečení.
Nízká

  • Zpřístupnění informací (nezacílené)

    • Informace o modulu Runtime

      • Příklad:

        • Únik náhodné paměti haldy

  • Manipulace

    • Dočasná změna dat v konkrétním scénáři, která po restartování operačního systému nebo aplikace nepřetrvá
Rozsáhlá akce uživatele je definována takto:

  • "Interakce uživatele" se může stát jenom v případě, že je řízený klientem.

  • Běžné jednoduché akce uživatelů, jako je zobrazení náhledu pošty, zobrazení místních složek nebo sdílených složek, nejsou rozsáhlou interakcí uživatelů.

  • "Rozsáhlé" zahrnuje uživatele, kteří ručně přecházují na určitý web (například zadáním adresy URL) nebo kliknutím na ano/ne.

  • "Není rozsáhlé" zahrnuje uživatele, kteří kliká na e-mailové odkazy.

  • Kvalifikátor NEAT ( platí jenompro upozornění). Prokazatelně je UX následující:

    • Nenípotřeba (Opravdu je potřeba, aby byl uživatel s tímto rozhodnutím předkládaní?)

    • Explained (Prezentuje UX všechny informace, které uživatel potřebuje k tomuto rozhodnutí?)

    • Actionable (Existuje sada kroků, které mohou uživatelé udělat, aby se v nesnádhodných i škodlivých situacích mohli dobře rozhodovat?)

    • Tested (Prošepilo toto upozornění více lidí, aby se ujistili, že lidé chápete, jak na toto upozornění odpovědět?)

  • Upřesnění: Všimněte si, že vliv rozsáhlé interakce uživatelů není o úroveň nižší závažnosti, ale je a byl snížením závažnosti za určitých okolností, kdy se výraz rozsáhlá interakce uživatelů zobrazuje v řádku chyb. Cílem je pomoci zákazníkům odlišit rychle se šířící a červí útoky od těch, kde se útok zpomaluje, protože uživatel spolupracuje. Tento panel chyb neumožňuje snížit zvýšení úrovně oprávnění pod úrovní Důležité kvůli interakci s uživatelem.

Klient
Kritická

Shrnutí klienta:

  • Network Worms or unavoidable common browsing/use scenarios where the client is "owned" without warnings or prompts.

  • Zvýšení oprávnění (vzdálené): Možnost spustit libovolný kód nebo získat víc oprávnění, než bylo zamýšleno

    • Příklady:

      • Neoprávněný přístup k systému souborů: zápis do systému souborů

      • Provedení libovolného kódu bez rozsáhlé akce uživatele

      • Všechny zápisy AVs, zneužitelné čtené AVs, přetečení zásobníku nebo přetečení celého čísla ve vzdáleně volatelném kódu(bez rozsáhlé akce uživatele)
Důležité:

Shrnutí klienta:

  • Běžné scénáře procházení/používání, kdy je klient "vlastněn" s upozorněními nebo výzvami nebo prostřednictvím rozsáhlých akcí bez výzvy. Všimněte si, že to nediskriminuje kvalitu/použitelnost výzvy a pravděpodobnosti, že uživatel může proklikat výzvu, ale jenom to, že existuje výzva k zadání určitého formuláře.

  • Zvýšení oprávnění (vzdálené)

    • Provedení libovolného kódu s rozsáhlou akcí uživatele

      • Všechny zápisy AVs, využitelné čtené AVs nebo přetečení celého čísla ve vzdáleném callable kódu(s rozsáhlou akcí uživatele)

  • Zvýšení oprávnění (místní)

    • Místní uživatel s nízkými oprávněními se může zvýšit na jiného uživatele, správce nebo místní systém.

      • Všechny zápisy AVs, zneužitelné čtené AVs nebo přetečení celého čísla v místním callable kódu

  • Zpřístupnění informací (cílené)

    • Případy, kdy útočník může vyhledat a přečíst informace v systému, včetně informací o systému, které nebyly zamýšleny nebo určené k vystavení.

    • Příklad:

      • Neoprávněný přístup k systému souborů: čtení ze systému souborů

      • Zveřejnění piI

        • Zveřejnění PII (e-mailové adresy, telefonní čísla)

      • Telefon domácích scénářů

  • Odmítnutí služby

    • Poškození systému DoS vyžaduje opětovné instalaci systému a/nebo součástí.

      • Příklad:

        • Když navštívíte webovou stránku, způsobíte poškození registru, které způsobí, že počítač není možné spustit.

    • Drive-by DoS

      • Kritéria:

        • Neověřený systém DoS

        • Výchozí expozice

        • Žádné výchozí funkce zabezpečení ani omezení hranic (brány firewall)

        • Žádná interakce s uživatelem

        • Žádná auditní a trestná stezka

        • Příklad:

          • Drive-by Bluetooth systému DoS nebo SMS v mobilním telefonu

  • Falšování falšování

    • Možnost pro útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně totožné s uživatelským rozhraním, na které se uživatelé musí spoléhat při rozhodování o platném vztahu důvěryhodnosti ve výchozím nebo běžném scénáři. Rozhodnutí o důvěryhodnosti je definováno jako kdykoli uživatel, který se domnívá, že některé informace prezentuje určitá entita – buď systém, nebo nějaký konkrétní místní nebo vzdálený zdroj.

      • Příklady:

        • Zobrazení jiné adresy URL v adresní řádku prohlížeče od adresy URL webu, kterou prohlížeč ve skutečnosti zobrazuje ve výchozím nebo běžném scénáři

        • Zobrazení okna nad adresní panel prohlížeče, které vypadá stejně jako panel adresa, ale zobrazuje falešná data ve výchozím nebo běžném scénáři

        • Zobrazení jiného názvu souboru v části Chcete spustit tento program? než u souboru, který se ve skutečnosti načte ve výchozím nebo běžném scénáři

        • Zobrazení výzvy k falešnému přihlášení ke shromažďování přihlašovacích údajů uživatele nebo účtu

  • Manipulace

    • Trvalé změny dat nebo dat uživatelů používaných k rozhodování o důvěryhodnosti v běžném nebo výchozím scénáři, který po restartování operačního systému nebo aplikace přetrvává.

      • Příklady:

        • Otrava mezipaměti webového prohlížeče

        • Změna významných nastavení operačního systému/aplikace bez souhlasu uživatele

        • Změna uživatelských dat

  • Funkce zabezpečení: Přerušování nebo obejití všech funkcí zabezpečení, které jsou k dispozici

    • Příklady:

      • Zakázání nebo obejití brány firewall s informování uživatele nebo získáním souhlasu

      • Změna konfigurace brány firewall a povolení připojení k jiným procesům

      • Použití slabého šifrování nebo uchovávání klíčů uložených ve formátu prostého textu

      • AccessCheck bypass

      • Obcházení nástroje BitLocker; například nešifrovat část jednotky

      • Obcházení syskey, způsob, jak dekódovat syskey bez hesla
Středně těžké

  • Odmítnutí služby

    • Permanent DoS vyžaduje restartování za studena nebo způsobuje modrou obrazovku nebo kontrolu chyb.

      • Příklad:

        • Otevření wordového dokumentu způsobí, že se na počítači zobrazí modrá obrazovka nebo kontrola chyb.

  • Zpřístupnění informací (cílené)

    • Případy, kdy útočník může číst informace o systému ze známých umístění ,včetně informací o systému, které nebyly zamýšleny nebo určené k vystavení.

      • Příklady:

        • Cílená existence souboru

        • Číslo verze cílového souboru

  • Falšování falšování

    • Možnost pro útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně totožné s uživatelským rozhraním, na které jsou uživatelé zvyklí důvěřovat v určitém scénáři. "Zvyklí na důvěryhodnost" je definováno jako všechno, co uživatel běžně zná na základě normální interakce s operačním systémem nebo aplikací, ale obvykle si to neuvědomuje jako "rozhodnutí o důvěryhodnosti".

      • Příklady:

        • Otrava mezipaměti webového prohlížeče

        • Změna významných nastavení operačního systému/aplikace bez souhlasu uživatele

        • Změna uživatelských dat
Nízká

  • Odmítnutí služby

    • Dočasný doS vyžaduje restartování aplikace.

      • Příklad:

        • Při otevření dokumentu HTML dojde k chybě Internet Exploreru.

  • Falšování falšování

    • Možnost pro útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně totožné s uživatelským rozhraním, které je jednou součástí scénáře většího útoku.

      • Příklad:

        • Uživatel musí přejít na "škodlivý" web, kliknout na tlačítko v dialogovém okně s falešnou náleželostí a je náchylný k chybě zabezpečení založené na jiné chybě prohlížeče.

  • Manipulace

    • Dočasná úprava dat, která po restartování operačního systému nebo aplikace nepřetrvají.

    • Zpřístupnění informací (nezacílené)

      • Příklad:

        • Únik náhodné paměti haldy

Definice podmínek

ověřeno
Každý útok, který musí zahrnovat ověřování sítí. To znamená, že protokolování určitého typu musí být možné, aby bylo možné identifikovat útočníka.

anonymní
Jakýkoli útok, který není potřeba ověřit, aby bylo možné provést.

klient
Software, který běží místně na jednom počítači, nebo software, který přistupuje ke sdíleným prostředkům poskytovaným serverem přes síť.

výchozí/běžné
Všechny funkce, které jsou aktivní mimo pole nebo které dosahují více než 10 procent uživatelů.

scénář
Všechny funkce, které vyžadují zvláštní přizpůsobení nebo případy použití k povolení, dosahují méně než 10 procent uživatelů.

server
Počítač, který je nakonfigurovaný tak, aby spouštěl software, který čeká a splňuje požadavky klientských procesů spuštěných na jiných počítačích.

  **Critical.** *A security vulnerability that would be rated as

s nejvyšším potenciálem poškození.*

  **Important.** *A security vulnerability that would be rated as

s významným potenciálem pro poškození, ale menší než kritické.*

  **Moderate.** *A security vulnerability that would be rated as

s mírným potenciálem poškození, ale méně než důležité.*

  **Low.** *A security vulnerability that would be rated as having

nízká možnost poškození.*

zpřístupnění cílených informací
Možnost záměrně vybrat (cílové) požadované informace.

dočasný doS
Dočasný dos je situace, kdy jsou splněna následující kritéria:

  • Cíl nemůže kvůli útoku provádět normální operace.

  • Odpověď na útok je zhruba stejná jako velikost útoku.

  • Cíl se vrátí na normální úroveň funkčnosti krátce po dokončení útoku. Přesná definice "krátce" by měla být vyhodnocena pro každý produkt.

Server například nereaguje, zatímco útočník neustále posílá datový proud paketů v síti a server se vrátí do normálu několik sekund po zastavení datového proudu paketů.

dočasný DoS se zesílčováním

Dočasný DoS se zesílčováním je situace, kdy jsou splněna následující kritéria:

  • Cíl nemůže kvůli útoku provádět normální operace.

  • Odpověď na útok je větší než velikost útoku.

  • Cíl se po dokončení útoku vrátí na normální úroveň funkčnosti, ale trvá to nějakou dobu (třeba několik minut).

Pokud například můžete poslat škodlivý 10-byte paket a způsobit v síti odpověď 2048 kB, budete šířku pásma dosažovat zesílivějším úsilím o útok.

trvalé dos

Trvalý DoS vyžaduje, aby správce začal, restartoval nebo přeinstalovat celý systém nebo jeho části. Jakákoli chyba zabezpečení, která automaticky restartuje systém, je také trvalým systémem DoS.

Matice odmítnutí služby (Server)

Ověřený a anonymní útok Výchozí/Běžné vs. Scénář Dočasný DoS vs. Trvalý Hodnocení
Ověřeno Výchozí/Běžné Trvalé Středně těžké
Ověřeno Výchozí/Běžné Dočasný DoS se zesílčováním Středně těžké
Ověřeno Výchozí/Běžné Dočasné dos Nízká
Ověřeno Scénář Trvalé Středně těžké
Ověřeno Scénář Dočasný DoS se zesílčováním Nízká
Ověřeno Scénář Dočasné dos Nízká
Anonymní Výchozí/Běžné Trvalé Důležité:
Anonymní Výchozí/Běžné Dočasný DoS se zesílčováním Důležité:
Anonymní Výchozí/Běžné Dočasné dos Středně těžké
Anonymní Scénář Trvalé Důležité:
Anonymní Scénář Dočasný DoS se zesílčováním Důležité:
Anonymní Scénář Dočasné dos Nízká

Právní omezení obsahu

Tato dokumentace není vyčerpávajícím odkazem na postupy SDL v Microsoftu. Další ujištění mohou provádět týmy produktů (ale nemusí být nutně zdokumentované) podle svého uvážení. V důsledku toho by se tento příklad neměl považovat za přesný proces zabezpečení všech produktů, který Microsoft sleduje.

Tato dokumentace je k dispozici "tak, jak jsou". Informace a zobrazení vyjádřená v tomto dokumentu, včetně adresy URL a dalších odkazů na internetové weby, se mohou bez předchozího upozornění změnit. Nesete riziko, že ho budete používat.

Tato dokumentace vám neposkytuje žádná zákonná práva k duševnímu vlastnictví v žádném produktu microsoftu. Tento dokument můžete kopírovat a používat pro interní referenční účely.

© 2018 Microsoft Corporation. Všechna práva vyhrazena.

Licencováno pod licencíCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported

Poznámka: Tento ukázkový dokument je jenom pro ilustrační účely. Níže uvedený obsah uvádí základní kritéria, která je třeba vzít v úvahu při vytváření procesů zabezpečení. Není vyčerpávajícím seznamem aktivit nebo kritérií a neměl by se s ním zacházet jako s takovými.

Přečtěte si prosím definice termínů v této části.

Na této stránce

Server
Klient
Definice podmínek