Barra de errores de seguridad de SDL (ejemplo)

  • Artículo

Nota: Este documento de ejemplo solo tiene fines ilustrativos. En el contenido que se presenta a continuación se describen los criterios básicos que se deben tener en cuenta al crear procesos de seguridad. Recuerde que no es una lista exhaustiva de actividades o criterios y no debe tratarse como tal.

Consulte las definiciones de términos de esta sección.

Servidor

Consulte la Matriz de denegación de servicio para obtener una matriz completa de escenarios DoS del servidor.

La barra del servidor no suele ser adecuada cuando la interacción del usuario forma parte del proceso para aprovechar las vulnerabilidades de seguridad. Si solo existe una vulnerabilidad crítica en los productos del servidor y se aprovecha de manera que requiera la interacción del usuario para poner el servidor en riesgo, la gravedad puede reducirse de "Crítica" a "Importante" de acuerdo con la definición de datos NEAT referentes a la interacción extensa del usuario que se presenta al principio de la dinamización de la gravedad del cliente.

Servidor
Crítico

Resumen del servidor: gusanos de red o casos inevitables en los que el servidor es "atacado".

  • Elevación de privilegios: es la capacidad de ejecutar código arbitrario u obtener más privilegios que los autorizados.

    • Eliminación de un usuario anónimo.

      • Ejemplos:

        • Acceso al sistema de archivos no autorizado: escritura arbitraria en el sistema de archivos.

        • Ejecución de código arbitrario.

        • Inyección de código SQL (que permite la ejecución del código).

    • Todas las infracciones de acceso de escritura (AV), los AV de lectura cuyas vulnerabilidades de seguridad se pueden aprovechar o los desbordamientos de valores enteros en un código remoto al que se puede llamar de forma anónima.
Importante

Resumen del servidor: escenarios o casos críticos no predeterminados en los que existen mitigaciones que pueden ayudar a evitar escenarios críticos.

  • Denegación del servicio: debe ser "fácil aprovecharse de sus vulnerabilidades de seguridad" mediante el envío de una pequeña cantidad de datos o puede inducirse rápidamente.

    • Anónimas

      • Ataque DoS persistente

        • Ejemplos:

          • El envío de un único paquete TCP malintencionado da como resultado una pantalla azul (BSoD).

          • El envío de un pequeño número de paquetes provoca un error de servicio.

      • Ataque DoS temporal con amplificación

        • Ejemplos:

          • Se envía un pequeño número de paquetes que hace que el sistema no se pueda usar durante un período de tiempo.

          • Un servidor web (como IIS) está fuera de servicio durante un minuto o más.

          • Un solo cliente remoto que consume todos los recursos disponibles (sesiones, memoria) en un servidor mediante el establecimiento de sesiones y manteniéndolas abiertas

    • Con autenticación

      • Ataque DoS persistente en un recurso de alto valor

        • Ejemplo:

          • El envío de un pequeño número de paquetes provoca un error de servicio en un recurso de alto valor en los roles del servidor (servidor de certificados, servidor Kerberos, controlador de dominio); por ejemplo, cuando un usuario autenticado mediante un dominio puede realizar un ataque DoS en un controlador de dominio.

  • Elevación de privilegios: es la capacidad de ejecutar código arbitrario u obtener más privilegios de los previstos.

    • Usuario autenticado remoto

    • Usuario autenticado local (Terminal Server)

      • Ejemplos:

        • Acceso al sistema de archivos no autorizado: escritura arbitraria en el sistema de archivos.

        • Ejecución de código arbitrario.

    • Todos los AV de escritura, los AVs de lectura cuyas vulnerabilidades de seguridad se pueden aprovechar o los desbordamientos de valores enteros en el código a los que pueden acceder los usuarios remotos o locales autenticados que no sean administradores (los escenarios de administrador no tienen problemas de seguridad por definición, pero siguen teniendo problemas de confiabilidad).

  • Divulgación de información (dirigida)

    • Son casos en los que el atacante puede localizar y leer información desde cualquier lugar del sistema, incluida la información del sistema que no estaba pensada o diseñada para estar a la vista.

      • Ejemplos:

        • Divulgación de información de identificación personal (PII).

          • Divulgación de PII (direcciones de correo electrónico, números de teléfono e información de la tarjeta de crédito).

          • El atacante puede recopilar la información de identificación personal sin el consentimiento del usuario o de forma encubierta.

  • Suplantación

    • Una entidad (ordenador, servidor, usuario, proceso) se puede enmascarar como unaentidad específica (usuario u ordenador) de su elección.

      • Ejemplos:

        • El servidor web usa la autenticación del certificado de cliente (SSL) incorrectamente para permitir que un atacante se identifique como cualquier usuario de su elección.

        • El nuevo protocolo está diseñado para proporcionar una autenticación de cliente remoto, pero existe un error en el protocolo que permite que un usuario remoto malintencionado se pueda ver como un usuario diferente de su elección.

  • Manipulación

    • Modificación de los datos del "recurso de alto valor" en un escenario común o predeterminado en el que la modificación persiste después de reiniciar el software afectado.

    • Modificación permanente o persistente de los datos de usuario o sistema que se han usado en un escenario común o predeterminado.

      • Ejemplos:

        • Modificación de bases de datos o archivos de datos de la aplicación en un escenario común o predeterminado, como la inserción de SQL autenticada.

        • Ataque de tipo "poisoning" de la caché del proxy en un escenario común o predeterminado.

        • Modificación de la configuración del sistema operativo o de la aplicación sin el consentimiento del usuario en un escenario común o predeterminado.

  • Características de seguridad: separación u omisión de cualquier característica de seguridad proporcionada.
    Tenga en cuenta que una vulnerabilidad de una característica de seguridad se clasifica como "Importante" de forma predeterminada, pero la clasificación se puede ajustar en función de otras consideraciones, tal como se documenta en la barra de errores de SDL.

    • Ejemplos:

      • Deshabilitar u omitir un firewall sin informar a los usuarios ni obtener consentimiento.

      • Reconfigurar un firewall y permitir conexiones a otros procesos.
Moderado

  • Denegación de servicio

    • Anónimas

      • Ataque DoS temporal sin amplificación en una instalación predeterminada o común.

        • Ejemplo:

          • Varios clientes remotos que consumen todos los recursos disponibles (sesiones, memoria) en un servidor mediante el establecimiento de sesiones y manteniéndolas abiertas.

    • Con autenticación

      • Ataque DoS persistente

        • Ejemplo:

          • El usuario de Exchange que ha iniciado sesión puede enviar un mensaje de correo específico y bloquear Exchange Server; tenga en cuenta que el bloqueo no se debe a un AV de escritura, un AV de lectura con vulnerabilidades de seguridad aprovechables o al desbordamiento de un valor entero.

      • Ataque DoS temporal con amplificación en una instalación predeterminada o común.

        • Ejemplo:

          • La instancia normal de SQL Server ejecuta un procedimiento almacenado que haya instalado algún producto y consume el 100 % de la CPU durante unos minutos.

  • Divulgación de información (dirigida)

    • Casos en los que el atacante puede leer fácilmente información sobre el sistema desde ubicaciones específicas, incluida la información del sistema, que no estaba diseñada para exponerse.

      • Ejemplo:

        • Divulgación dirigida de datos anónimos.

        • Divulgación dirigida de la existencia de un archivo.

        • Divulgación dirigida de un número de versión de archivo.

  • Suplantación

    • Una entidad (equipo, servidor, usuario o proceso) puede enmascararse como una entidad aleatoria diferente que no se puede seleccionar específicamente.

      • Ejemplo:

        • El cliente se autentica correctamente en el servidor, pero el servidor entrega una sesión de otro usuario aleatorio que está conectado al servidor al mismo tiempo.

  • Manipulación

    • Modificación permanente o persistente de cualquier usuario o datos del sistema en un escenario específico.

      • Ejemplos:

        • Modificación de bases de datos o archivos de datos de aplicación en un escenario específico.

        • Ataque de tipo "poisoning" de la caché de un proxy en un escenario específico.

        • Modificación de la configuración del sistema operativo o la aplicación sin el consentimiento del usuario en un escenario específico.

    • Modificación temporal de los datos en un escenario común o predeterminado que no se conserva después de reiniciar el sistema operativo, la aplicación o la sesión.

  • Garantías de seguridad:

    • Una garantía de seguridad es una característica de seguridad u otra característica o función del producto que los clientes esperan que ofrezca protección de seguridad. Las comunicaciones han indicado (explícita o implícitamente) que los clientes pueden confiar en la integridad de la característica y eso es lo que la convierte en una garantía de seguridad. Los boletines de seguridad se enviarán debido a una deficiencia en una garantía de seguridad que desvirtúe la confianza del cliente.

      • Ejemplos:

        • Los procesos que se ejecutan con privilegios de "usuario" normales no pueden obtener privilegios de "administrador" a menos que se hayan proporcionado credenciales o contraseñas de administrador intencionadamente a través de métodos autorizados.

        • La instancia de JavaScript basada en Internet que se ejecuta en Internet Explorer no puede controlar ningún elemento del sistema operativo host a menos que el usuario haya cambiado explícitamente la configuración de seguridad predeterminada.
Bajo

  • Divulgación de información (sin dirigir)

    • Información en tiempo de ejecución

      • Ejemplo:

        • Pérdida de memoria de montón aleatoria

  • Manipulación

    • Modificación temporal de los datos en un escenario específico que no se conserva después de reiniciar el sistema operativo o la aplicación.

Remoto

La acción extensa del usuario se define como:

  • Una "interacción del usuario" que solo puede producirse en un escenario controlado por el cliente.

  • Las acciones de usuario normales y sencillas, como obtener una vista previa del correo, ver carpetas locales o los recursos compartidos de archivos, no son una interacción extensa del usuario.

  • La opción "Extensa" incluye a los usuarios que navegan manualmente a un sitio web determinado (por ejemplo, escribiendo una dirección URL) o que hacen clic en una decisión de sí o no.

  • La opción "No extensa" incluye a los usuarios que hacen clic a través de vínculos de correo electrónico.

  • El calificador NEAT (solo se aplica a advertencias). Evidentemente, la experiencia de usuario es:

    • Necessary (Necesaria): ¿Realmente es necesario presentar al usuario la decisión?

    • Explained (Explicada): ¿La experiencia de usuario presenta toda la información que el usuario necesita para tomar esta decisión?

    • Actionable (Requiere una acción): ¿Hay un conjunto de pasos que los usuarios pueden seguir para tomar buenas decisiones tanto en escenarios benignos como en los malintencionados?

    • Tested (Probada): ¿Varias personas han revisado la advertencia para asegurarse de que las personas entienden cómo responder a esta?

  • Aclaración: Tenga en cuenta que el efecto de la interacción extensa del usuario no supone una reducción del nivel de gravedad, sino que es y ha sido una reducción de la gravedad en determinadas circunstancias en las que la frase "interacción extensa del usuario" aparece en la barra de errores. La intención es ayudar a los clientes a diferenciar los ataques de propagación rápida y de gusanos de aquellos en los que, debido a las acciones del usuario, el ataque se ralentiza. Esta barra de errores no permite reducir la elevación de privilegios por debajo del estado "Importante", debido a la interacción del usuario.

Cliente
Crítico

Resumen de cliente:

  • Los gusanos de la red o los escenarios de exploración y uso comunes e inevitables en los que el cliente es "atacado" sin advertencias ni avisos.

  • Elevación de privilegios (remota): es la capacidad de ejecutar código arbitrario u obtener más privilegios de los previstos.

    • Ejemplos:

      • Acceso al sistema de archivos no autorizado: escritura en el sistema de archivos.

      • Ejecución de código arbitrario sin una acción extensa del usuario.

      • Todos los AV de escritura, los AV de lectura con vulnerabilidades de seguridad aprovechables, los desbordamientos de pila o los desbordamientos de valores enteros en el código al que se puede llamar remotamente (sin una acción extensa del usuario).
Importante

Resumen de cliente:

  • Escenarios comunes de exploración y uso en los que el cliente es "atacado" con advertencias o avisos, o a través de acciones exhaustivas sin avisos. Tenga en cuenta que esto no discrimina la calidad o facilidad de uso de un mensaje ni la probabilidad de que un usuario pueda hacer clic en el símbolo del sistema, sino que solo existe un mensaje de algún tipo.

  • Elevación de privilegios (remota)

    • Ejecución de código arbitrario sin una acción extensa del usuario.

      • Todos los AV de escritura, los AV de lectura con vulnerabilidades de seguridad aprovechables, o los desbordamientos de valores enteros en el código remoto al que se puede llamar (con una acción extensa del usuario).

  • Elevación de privilegios (local)

    • Un usuario local con pocos privilegios puede elevarse a sí mismo a otro usuario, administrador o sistema local.

      • Todos los AV de escritura, los AV de lectura con vulnerabilidades de seguridad aprovechables o los desbordamientos de valores enteros en el código local al que se puede llamar.

  • Divulgación de información (dirigida)

    • Son casos en los que el atacante puede localizar y leer información del sistema, incluida la información del sistema que no estaba pensada o diseñada para estar a la vista.

    • Ejemplo:

      • Acceso no autorizado al sistema de archivos: lectura desde el sistema de archivos.

      • Divulgación de PII

        • Divulgación de PII (direcciones de correo electrónico, números de teléfono)

      • Escenarios del teléfono privado

  • Denegación de servicio

    • El daño DoS del sistema requiere volver a instalar el sistema o los componentes.

      • Ejemplo:

        • La visita a una página web provoca daños en el registro que hacen que la máquina no arranque.

    • Ataque DoS oculto

      • Criterios:

        • Ataque DoS del sistema no autenticado.

        • Exposición predeterminada.

        • No hay características de seguridad predeterminadas ni mitigaciones de límites (firewalls).

        • No hay interacción con el usuario.

        • Sin registro de auditoría ni de seguimiento.

        • Ejemplo:

          • Ataque DoS oculto mediante SMS o el sistema Bluetooth en un teléfono móvil

  • Suplantación

    • Es la capacidad del atacante para presentar una interfaz de usuario que es diferente pero visualmente idéntica a la interfaz de usuario en la que los usuarios deben confiar para tomar decisiones de confianza válidas en un escenario predeterminado o común. Una decisión de confianza se define como cualquier momento en que el usuario realiza una acción creyendo que una entidad en particular muestra cierta información, ya sea el sistema o alguna fuente local o remota específica.

      • Ejemplos:

        • Se muestra una dirección URL diferente en la barra de direcciones del explorador de la dirección URL del sitio que el explorador muestra realmente en un escenario predeterminado o común.

        • Se muestra una ventana sobre la barra de direcciones del navegador que parece idéntica a una barra de direcciones, pero muestra datos falsos en un escenario predeterminado o común.

        • Se muestra un nombre de archivo diferente en el cuadro de diálogo "¿Quiere ejecutar este programa?" cuadro de diálogo que no es el del archivo que se cargará realmente en un escenario predeterminado o común.

        • Se muestra un mensaje de inicio de sesión "falso" para recopilar las credenciales del usuario o de la cuenta.

  • Manipulación

    • Es la modificación permanente de los datos de usuario o los datos que se usan para tomar decisiones de confianza en un escenario común o predeterminado, y que persiste después de reiniciar el sistema operativo o la aplicación.

      • Ejemplos:

        • Ataque de tipo "poisoning" de la caché del explorador web.

        • Modificación de configuraciones importantes del sistema operativo o de las aplicaciones sin el consentimiento del usuario.

        • Modificación de los datos del usuario.

  • Características de seguridad: separación u omisión de cualquier característica de seguridad proporcionada.

    • Ejemplos:

      • Deshabilitar u omitir un firewall informando a los usuarios o con su consentimiento.

      • Reconfigurar un firewall y permitir conexiones a otros procesos.

      • Usar un cifrado débil o mantener las claves almacenadas en un texto sin formato.

      • Omisión de la opción AccessCheck.

      • Omisión de BitLocker; por ejemplo, no cifrar parte de la unidad.

      • Omisión de la clave del sistema, que es una manera de descodificar la clave del sistema sin la contraseña.
Moderado

  • Denegación de servicio

    • Un ataque de DoS permanente requiere un arranque en frío o provoca que se active la opción de comprobación de errores o una pantalla azul.

      • Ejemplo:

        • Al abrir un documento de Word, la máquina muestra una pantalla azul o una opción de comprobación de errores.

  • Divulgación de información (dirigida)

    • Son casos en los que el atacante puede localizar y leer información del sistema, desde ubicaciones conocidas, incluida la información del sistema que no estaba pensada o diseñada para estar a la vista.

      • Ejemplos:

        • Existencia de archivos dirigida.

        • Número de versión del archivo dirigido.

  • Suplantación

    • Es la capacidad del atacante para presentar una interfaz de usuario que es diferente pero visualmente idéntica a la interfaz de usuario a la que los usuarios están acostumbrados a confiar en un escenario específico. El elemento "Acostumbrado a confiar", se define como cualquier cosa con la que un usuario esté familiarizado en función de la interacción normal con el sistema operativo o la aplicación, pero que normalmente no se considera una "decisión de confianza".

      • Ejemplos:

        • Ataque de tipo "poisoning" de la caché del explorador web.

        • Modificación de configuraciones importantes del sistema operativo o de las aplicaciones sin el consentimiento del usuario.

        • Modificación de los datos del usuario.
Bajo

  • Denegación de servicio

    • Un ataque DoS temporal requiere reiniciar la aplicación.

      • Ejemplo:

        • Al abrir un documento HTML, Internet Explorer se bloquea.

  • Suplantación

    • Es la capacidad del atacante para presentar una interfaz de usuario que es diferente pero visualmente idéntica a la interfaz de usuario, que es una sola parte de un escenario de ataque más grande.

      • Ejemplo:

        • El usuario tiene que ir a un sitio web "malintencionado" y hacer clic en un botón del cuadro de diálogo falso; una vez hecho esto, es susceptible a una vulnerabilidad basada en un error diferente del explorador.

  • Manipulación

    • Es la modificación temporal de cualquier dato que no se conserve después de reiniciar el sistema operativo o la aplicación.

    • Divulgación de información (sin dirigir)

      • Ejemplo:

        • Pérdida de memoria de montón aleatoria

Definición de términos

autenticado
Es cualquier ataque que tenga que incluir la autenticación por parte de la red. Esto implica que debe producirse un registro de algún tipo para que se pueda identificar al atacante.

anónimo
Es cualquier ataque que no necesite autenticarse para completarse.

client
Es cualquier software que se ejecuta localmente en un único equipo, o un software que accede a los recursos compartidos que proporciona un servidor a través de una red.

predeterminado/común
Es cualquier característica que esté activa y lista para usar, o que llegue a más del 10 por ciento de los usuarios.

scenario
Es cualquier característica que requiera personalización especial o casos de uso para habilitarla, y que llegue a menos del 10 por ciento de los usuarios.

servidor
Es el equipo que está configurado para ejecutar un software que espera y cumple con las solicitudes de los procesos de cliente que se ejecutan en otros equipos.

Crítica
Una vulnerabilidad de seguridad que se clasificaría con el mayor potencial de daño.

Importante
Una vulnerabilidad de seguridad que se clasificaría con un potencial significativo de daño, pero menor que Crítico.

Moderado
Una vulnerabilidad de seguridad que se clasificaría con un potencial moderado de daño, pero menor que Importante.

Baja
Una vulnerabilidad de seguridad que se clasificaría con bajo potencial de daño.

divulgación de información dirigida
Es la capacidad de seleccionar intencionadamente (destino) la información deseada.

ataque DoS temporal
Un ataque DoS temporal es una situación en la que se cumplen los criterios siguientes:

  • El destino no puede realizar operaciones normales debido a un ataque.

  • La respuesta a un ataque es aproximadamente de la misma magnitud que el tamaño del ataque.

  • El destino vuelve al nivel normal de funcionalidad poco después de que finalice el ataque. La definición exacta de "en breve" debe evaluarse para cada producto.

Por ejemplo, un servidor no responde mientras un atacante envía constantemente un flujo de paquetes a través de una red, y el servidor vuelve a la normalidad unos segundos después de que se detenga el flujo de paquetes.

ataque DoS temporal con amplificación

Un ataque DoS temporal con amplificación es una situación en la que se cumplen los criterios siguientes:

  • El destino no puede realizar operaciones normales debido a un ataque.

  • La respuesta al ataque tiene una magnitud que va más allá del tamaño del ataque.

  • El destino vuelve al nivel normal de funcionalidad una vez finalizado el ataque, pero tarda algún tiempo (quizás unos minutos).

Por ejemplo, si puede enviar un paquete malintencionado de 10 bytes y provocar una respuesta de 2048k en la red, está realizando un ataque DoS en el ancho de banda mediante la amplificación del esfuerzo de ataque.

ataque DoS permanente

Un ataque DoS permanente es aquel que requiere que un administrador inicie, reinicie o vuelva a instalar todo el sistema o parte del este. Cualquier vulnerabilidad que reinicie automáticamente el sistema también es un ataque DoS permanente.

Matriz de denegación de servicio (servidor)

Ataque autenticado frente a anónimo Escenario predeterminado frente a común Ataque DoS temporal frente a permanente Rating
Con autenticación Predeterminado/Común Permanente Moderado
Con autenticación Predeterminado/Común Ataque DoS temporal con amplificación Moderado
Con autenticación Predeterminado/Común Ataque DoS temporal Bajo
Con autenticación Escenario Permanente Moderado
Con autenticación Escenario Ataque DoS temporal con amplificación Bajo
Con autenticación Escenario Ataque DoS temporal Bajo
Anónimas Predeterminado/Común Permanente Importante
Anónimas Predeterminado/Común Ataque DoS temporal con amplificación Importante
Anónimas Predeterminado/Común Ataque DoS temporal Moderado
Anónimas Escenario Permanente Importante
Anónimas Escenario Ataque DoS temporal con amplificación Importante
Anónimas Escenario Ataque DoS temporal Bajo

Declinación de responsabilidades de contenido

Esta documentación no es una referencia exhaustiva sobre las prácticas de SDL en Microsoft. Los equipos de productos pueden realizar trabajos de garantía adicionales (pero no necesariamente tienen que documentarlos) a su discreción. Como resultado, este ejemplo no debe considerarse como el proceso exacto que Microsoft sigue para proteger todos los productos.

Esta documentación se proporciona "tal cual". La información y los puntos de vista expresados en este documento, incluidas las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin previo aviso. Usted asume el riesgo de su uso.

Esta documentación no le proporciona ningún derecho legal sobre la propiedad intelectual e industrial de ninguno de los productos de Microsoft. Puede copiar y usar este documento para su uso interno de referencia.

© 2018 Microsoft Corporation. Todos los derechos reservados.

Licencia bajoCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported