SDL-beveiligingsbugbalk (voorbeeld)

  • Artikel
  • 13 minuten om te lezen

Raadpleeg de Denial of Service Matrix voor een volledige matrix met server-DoS-scenario's.

De serverbalk is meestal niet geschikt wanneer gebruikersinteractie deel uitmaakt van het gebruiksproces. Als een kritiek beveiligingsprobleem alleen bestaat op serverproducten en wordt misbruikt op een manier die interactie van de gebruiker vereist en resulteert in het compromitteerd gebruik van de server, kan de ernst worden verminderd van Kritiek tot Belangrijk volgens de DEFINITIE VAN NEAT/gegevens van uitgebreide gebruikersinteractie die wordt gepresenteerd aan het begin van de ernstspivot van de client.

Server
Kritiek

Serveroverzicht: Netwerkwormen of onvermijdelijke gevallen waarin de server 'eigendom' is.

  • Verheffing van bevoegdheden: de mogelijkheid om willekeurige code uit te voeren of meer bevoegdheden te verkrijgen dan geautoriseerd

    • Externe anonieme gebruiker

      • Voorbeelden:

        • Toegang tot het bestandssysteem door onbevoegden: willekeurig schrijven naar het bestandssysteem

        • Uitvoering van willekeurige code

        • SQL (waarmee code kan worden uitgevoerd)

    • Alle schrijftoegangsovertredingen (AV), leesbare AVs of integer-overloop in externe, anoniem beroepbare code
Belangrijk

Serveroverzicht: Niet-standaardkritische scenario's of gevallen waarin risicobeperking bestaat om kritieke scenario's te voorkomen.

  • Denial of service: Moet 'gemakkelijk te misbruiken' zijn door een kleine hoeveelheid gegevens te verzenden of anders snel te worden geïnduceerd

    • Anoniem

      • Permanente dos

        • Voorbeelden:

          • Als u één kwaadwillend TCP-pakket verstuurt, resulteert dit in een blue screen of death (BSoD)

          • Een klein aantal pakketten verzenden dat een servicefout veroorzaakt

      • Tijdelijke doS met versterking

        • Voorbeelden:

          • Een klein aantal pakketten verzenden waardoor het systeem een bepaalde tijd niet meer kan worden gebruikt

          • Een webserver (zoals IIS) die een minuut of langer is neergeslagen

          • Eén externe client die alle beschikbare resources (sessies, geheugen) op een server gebruikt door sessies op te zetten en open te houden

    • Geverifieerd

      • Permanente doS tegen een hoogwaardeactivum

        • Voorbeeld:

          • Een klein aantal pakketten verzenden waardoor een servicefout wordt veroorzaakt voor een hoogwaardeactivum in serverrollen (certificaatserver, Kerberos-server, domeincontroller), bijvoorbeeld wanneer een domeingeauthenticeerde gebruiker een DoS kan uitvoeren op een domeincontroller

  • Verheffing van bevoegdheden: de mogelijkheid om willekeurige code uit te voeren of om meer bevoegdheden te verkrijgen dan bedoeld

    • Externe geverifieerde gebruiker

    • Lokale geverifieerde gebruiker (Terminal Server)

      • Voorbeelden:

        • Toegang tot het bestandssysteem door onbevoegden: willekeurig schrijven naar het bestandssysteem

        • Uitvoering van willekeurige code

    • Alle schrijf-AVs, exploitable read AVs of integer overflows in code die toegankelijk zijn voor externe of lokale geverifieerde gebruikers die geen beheerders zijn (Beheerdersscenario's hebben per definitie geen beveiligingsproblemen, maar zijn nog steeds betrouwbaarheidsproblemen.)

  • Openbaarmaking van gegevens (gericht)

    • Gevallen waarin de aanvaller informatie overal in het systeem kan vinden en lezen, inclusief systeemgegevens die niet zijn bedoeld of die zijn ontworpen om te worden getoond

      • Voorbeelden:

        • Openbaarmaking van persoonlijke gegevens (PII)

          • Openbaarmaking van PII (e-mailadressen, telefoonnummers, creditcardgegevens)

          • Aanvaller kan PII verzamelen zonder toestemming van de gebruiker of op een geheime manier

  • Spoofing

    • Een entiteit (computer, server, gebruiker, proces) kan zich voordoen als een specifieke entiteit(gebruiker of computer) naar keuze.

      • Voorbeelden:

        • Webserver gebruikt ten onrechte clientcertificaatverificatie (SSL) om een aanvaller toe te staan te worden geïdentificeerd als een gebruiker van zijn of haar keuze

        • Nieuw protocol is ontworpen om externe clientverificatie te bieden, maar er bestaat een fout in het protocol waarmee een kwaadwillende externe gebruiker kan worden gezien als een andere gebruiker van zijn of haar keuze

  • Geknoei

    • Wijziging van gegevens over activa met een hoge waarde in een gemeenschappelijk of standaardscenario waarin de wijziging blijft bestaan na het opnieuw opstarten van de betreffende software

    • Permanente of permanente wijziging van gebruikers- of systeemgegevens die worden gebruikt in een gemeenschappelijk of standaardscenario

      • Voorbeelden:

        • Wijziging van toepassingsgegevensbestanden of -databases in een gemeenschappelijk of standaardscenario, zoals geverifieerde SQL-injectie

        • Proxycache vergiftiging in een veelvoorkomende of standaardscenario

        • Wijziging van besturingssysteem- of toepassingsinstellingen zonder toestemming van de gebruiker in een gemeenschappelijk of standaardscenario

  • Beveiligingsfuncties: een beveiligingsfunctie verbreken of omzeilen.
    Een beveiligingsprobleem in een beveiligingsfunctie wordt standaard als 'Belangrijk' beoordeeld, maar de beoordeling kan worden aangepast op basis van andere overwegingen zoals beschreven in de SDL-bugbalk.

    • Voorbeelden:

      • Een firewall uitschakelen of omzeilen zonder gebruikers op de hoogte te stellen of toestemming te krijgen

      • Een firewall opnieuw configureren en verbindingen met andere processen toestaan
Gemiddeld

  • Serviceweken

    • Anoniem

      • Tijdelijke doS zonder versterking in een standaard/algemene installatie.

        • Voorbeeld:

          • Meerdere externe clients die alle beschikbare resources (sessies, geheugen) op een server gebruiken door sessies tot stand te brengen en ze open te houden

    • Geverifieerd

      • Permanente dos

        • Voorbeeld:

          • Aangemelde Exchange gebruiker kan een specifiek e-mailbericht verzenden en de Exchange Server vastlopen, en de crash is niet het gevolg van een schrijf-AV, exploitable read AV of integer overflow

      • Tijdelijke doS met versterking in een standaard/algemene installatie

        • Voorbeeld:

          • Gewone SQL Server voert een opgeslagen procedure uit die door een product is geïnstalleerd en gebruikt enkele minuten lang 100% van de CPU

  • Openbaarmaking van gegevens (gericht)

    • Gevallen waarin de aanvaller eenvoudig informatie over het systeem kan lezen vanaf specifieke locaties , inclusief systeemgegevens, die niet bedoeld of ontworpen zijn om te worden getoond.

      • Voorbeeld:

        • Gerichte openbaarmaking van anonieme gegevens

        • Gerichte openbaarmaking van het bestaan van een bestand

        • Gerichte openbaarmaking van een bestandsversienummer

  • Spoofing

    • Een entiteit (computer, server, gebruiker, proces) kan zich voordoen als een andere, willekeurige entiteit die niet specifiek kan worden geselecteerd.

      • Voorbeeld:

        • Client wordt correct geverifieerd op de server, maar de server geeft een sessie terug van een andere willekeurige gebruiker die tegelijk met de server is verbonden

  • Geknoei

    • Permanente of permanente wijziging van gebruikers- of systeemgegevens in een specifiek scenario

      • Voorbeelden:

        • Wijziging van toepassingsgegevensbestanden of -databases in een specifiek scenario

        • Proxycache vergiftiging in een specifiek scenario

        • Wijziging van os-/toepassingsinstellingen zonder toestemming van de gebruiker in een specifiek scenario

    • Tijdelijke wijziging van gegevens in een veelvoorkomende of standaardscenario dat niet blijft bestaan na het opnieuw opstarten van het besturingssysteem/toepassing-/sessie

  • Beveiligingsgaranties:

    • Een beveiligingscontrole is een beveiligingsfunctie of een andere productfunctie/functie die klanten verwachten beveiligingsbeveiliging te bieden. Communicatie heeft (expliciet of impliciet) bericht gekregen dat klanten kunnen vertrouwen op de integriteit van de functie en dat is wat het een beveiligingscontrole maakt. Beveiligingsbulletins worden uitgebracht voor een tekortkoming in een beveiligingscontrole die de afhankelijkheid of het vertrouwen van de klant ondermijnt.

      • Voorbeelden:

        • Processen die worden uitgevoerd met normale 'gebruikersbevoegdheden' kunnen geen beheerdersbevoegdheden krijgen, tenzij beheerderswachtwoord/referenties zijn verstrekt via opzettelijk geautoriseerde methoden.

        • JavaScript op internet dat wordt uitgevoerd in Internet Explorer, kan niets van het hostbesturingssysteem beheren, tenzij de gebruiker de standaardbeveiligingsinstellingen expliciet heeft gewijzigd.
Laag

  • Openbaarmaking van gegevens (niet-doelgericht)

    • Runtime-informatie

      • Voorbeeld:

        • Lekkage van willekeurig geheugen van de stapel

  • Geknoei

    • Tijdelijke wijziging van gegevens in een specifiek scenario dat niet blijft bestaan na het opnieuw opstarten van het besturingssysteem/de toepassing
Uitgebreide gebruikersactie wordt gedefinieerd als:

  • 'Gebruikersinteractie' kan alleen worden gebruikt in clientgestuurde scenario's.

  • Normale, eenvoudige gebruikersacties, zoals het bekijken van e-mail, het weergeven van lokale mappen of bestandsaandelen, zijn geen uitgebreide gebruikersinteractie.

  • 'Uitgebreid' omvat gebruikers die handmatig naar een bepaalde website navigeren (bijvoorbeeld door een URL te typen) of door te klikken op een ja/nee-beslissing.

  • 'Niet uitgebreid' bevat gebruikers die door e-mailkoppelingen klikken.

  • NEAT qualifier(alleen van toepassing op waarschuwingen). De UX is duidelijk:

    • Necessary (Moet de gebruiker echt de beslissing krijgen?)

    • Explained (Bevat de UX alle informatie die de gebruiker nodig heeft om deze beslissing te nemen?)

    • Eenctionable (Is er een reeks stappen die gebruikers kunnen nemen om goede beslissingen te nemen in zowel goedaardige als schadelijke scenario's?)

    • Tested (Is de waarschuwing beoordeeld door meerdere personen, om ervoor te zorgen dat mensen begrijpen hoe ze moeten reageren op de waarschuwing?)

  • Uitleg: Houd er rekening mee dat het effect van uitgebreide gebruikersinteractie niet één niveau van ernst is, maar wel een vermindering van de ernst in bepaalde omstandigheden, waarbij de uitgebreide interactie van de gebruiker wordt weergegeven in de bugbalk. De bedoeling is om klanten te helpen onderscheid te maken tussen snel verspreidende en wormeerbare aanvallen, waarbij de aanval wordt vertraagd omdat de gebruiker interactie heeft. Met deze bugbalk kunt u de verheffing van bevoegdheden onder Belangrijk vanwege interactie met de gebruiker niet verminderen.

Client
Kritiek

Clientoverzicht:

  • Netwerkwormen of onvermijdelijke veelgebruikte browse-/gebruiksscenario's waarbij de client 'eigendom' is zonder waarschuwingen of aanwijzingen.

  • Verheffing van bevoegdheden (extern): de mogelijkheid om willekeurige code uit te voeren of om meer bevoegdheden te verkrijgen dan bedoeld

    • Voorbeelden:

      • Toegang tot het bestandssysteem door onbevoegden: schrijven naar het bestandssysteem

      • Uitvoering van willekeurige code zonder uitgebreide actie van de gebruiker

      • Alle schrijf-AVs, exploitable read AVs, stack overflows, or integer overflows in remotely callable code(without extensive user action)
Belangrijk

Clientoverzicht:

  • Veelvoorkomende scenario's voor browsen/gebruiken waarbij de client 'eigendom' is van waarschuwingen of aanwijzingen, of via uitgebreide acties zonder aanwijzingen. Houd er rekening mee dat de kwaliteit/bruikbaarheid van een prompt hierdoor niet wordt gediscrimineerd en dat de kans groot is dat een gebruiker door de prompt klikt, maar alleen dat er een prompt van een formulier bestaat.

  • Hoogte van bevoegdheden (extern)

    • Uitvoering van willekeurige code met uitgebreide gebruikersactie

      • Alle schrijf-AVs, exploitable read AVs of integer overflows in externe beroepbare code(met uitgebreide gebruikersactie)

  • Hoogte van bevoegdheden (lokaal)

    • Lokale gebruiker met lage bevoegdheden kan zichzelf verheffen tot een andere gebruiker, beheerder of lokaal systeem.

      • Alle schrijf-AVs, exploitable read AVs of integer overflows in local callable code

  • Openbaarmaking van gegevens (gericht)

    • Gevallen waarin de aanvaller informatie in het systeem kan vinden en lezen, inclusief systeemgegevens die niet bedoeld of ontworpen zijn om te worden getoond.

    • Voorbeeld:

      • Toegang tot het bestandssysteem door onbevoegden: lezen vanuit het bestandssysteem

      • Openbaarmaking van PII

        • Openbaarmaking van PII (e-mailadressen, telefoonnummers)

      • Telefoon scenario's voor thuis

  • Serviceweken

    • Systeemcorruptie DoS vereist opnieuw installeren van systeem en/of onderdelen.

      • Voorbeeld:

        • Als u een webpagina bezoekt, veroorzaakt dit een beschadiging van het register waardoor de computer niet kan worden gebootsed

    • Drive-by DoS

      • Criteria:

        • Niet-geverifieerde systeem-dos

        • Standaardblootstelling

        • Geen standaardbeveiligingsfuncties of grensbeperking (firewalls)

        • Geen interactie met de gebruiker

        • Geen audit- en bestrafspoor

        • Voorbeeld:

          • Drive-by Bluetooth dos of sms-systeem op een mobiele telefoon

  • Spoofing

    • De mogelijkheid voor de aanvaller om een gebruikersinterface te presenteren die verschilt van maar visueel identiek is aan de gebruikersinterface waar gebruikers op moeten vertrouwen om geldige vertrouwensbeslissingen te nemen in een standaard/veelvoorkomende scenario. Een vertrouwensbeslissing wordt gedefinieerd als elk moment dat de gebruiker een actie onderneemt die ervan uit gaat dat bepaalde informatie wordt gepresenteerd door een bepaalde entiteit, ofwel het systeem of een specifieke lokale of externe bron.

      • Voorbeelden:

        • Een andere URL weergeven op de adresbalk van de browser dan de URL van de site die in de browser wordt weergegeven in een standaard/veelvoorkomende scenario

        • Een venster weergeven op de adresbalk van de browser dat er identiek aan een adresbalk uitziet, maar nepgegevens we weergeven in een standaard/veelvoorkomende scenario

        • Een andere bestandsnaam weergeven in een 'Wilt u dit programma uitvoeren?' dialoogvenster dan dat van het bestand dat daadwerkelijk wordt geladen in een standaard/veelvoorkomende scenario

        • Een 'valse' aanmeldingsprompt weergeven om gebruikers- of accountreferenties te verzamelen

  • Geknoei

    • Permanente wijziging van gebruikersgegevens of gegevens die worden gebruikt om vertrouwensbeslissingen te nemen in een gemeenschappelijk of standaardscenario dat blijft bestaan na het opnieuw opstarten van het besturingssysteem/de toepassing.

      • Voorbeelden:

        • Cache-vergiftiging van webbrowser

        • Wijziging van belangrijke os-/toepassingsinstellingen zonder toestemming van de gebruiker

        • Wijziging van gebruikersgegevens

  • Beveiligingsfuncties: een beveiligingsfunctie afbreken of omzeilen

    • Voorbeelden:

      • Een firewall uitschakelen of omzeilen met het informeren van de gebruiker of het verkrijgen van toestemming

      • Een firewall opnieuw configureren en verbinding met andere processen toestaan

      • Zwakke versleuteling gebruiken of de sleutels in tekst zonder tekst opslaan

      • AccessCheck bypass

      • Bitlocker bypass; bijvoorbeeld een deel van het station niet versleutelen

      • Syskey bypass, een manier om de syskey te decoderen zonder het wachtwoord
Gemiddeld

  • Serviceweken

    • Permanente doS vereist een cold reboot of veroorzaakt Blue Screen/Bug Check.

      • Voorbeeld:

        • Als u een Word-document opent, wordt de computer blauw scherm/foutcontrole weergegeven.

  • Openbaarmaking van gegevens (gericht)

    • Gevallen waarin de aanvaller informatie over het systeem kan lezen vanaf bekende locaties,inclusief systeemgegevens die niet bedoeld of ontworpen zijn om te worden getoond.

      • Voorbeelden:

        • Doelbestaan van bestand

        • Doelbestandsversienummer

  • Spoofing

    • De mogelijkheid voor de aanvaller om een gebruikersinterface te presenteren die verschilt van maar visueel identiek is aan de gebruikersinterface die gebruikers gewend zijn te vertrouwen in een specifiek scenario. 'Gewend aan vertrouwen' wordt gedefinieerd als alles wat een gebruiker vaak kent op basis van normale interactie met het besturingssysteem of de toepassing, maar wordt meestal niet gezien als een 'vertrouwensbeslissing'.

      • Voorbeelden:

        • Cache-vergiftiging van webbrowser

        • Wijziging van belangrijke os-/toepassingsinstellingen zonder toestemming van de gebruiker

        • Wijziging van gebruikersgegevens
Laag

  • Serviceweken

    • Voor tijdelijke doS moet de toepassing opnieuw worden gestart.

      • Voorbeeld:

        • Als u een HTML-document opent, loopt Internet Explorer vast

  • Spoofing

    • De mogelijkheid voor de aanvaller om een gebruikersinterface te presenteren die verschilt van maar visueel identiek is aan de gebruikersinterface die één onderdeel is van een groter aanvalsscenario.

      • Voorbeeld:

        • Gebruiker moet naar een 'schadelijke' website gaan, op een knop klikken in het dialoogvenster Vervalst en is dan vatbaar voor een beveiligingsprobleem op basis van een andere browserbug

  • Geknoei

    • Tijdelijke wijziging van gegevens die niet blijven bestaan na het opnieuw opstarten van het besturingssysteem/de toepassing.

    • Openbaarmaking van gegevens (niet-doelgericht)

      • Voorbeeld:

        • Lekkage van willekeurig geheugen van de stapel

Definitie van termen

geverifieerd
Elke aanval die moet bestaan uit het authenticeren door het netwerk. Dit houdt in dat logboekregistratie van een bepaald type moet kunnen plaatsvinden, zodat de aanvaller kan worden geïdentificeerd.

anoniem
Elke aanval die niet hoeft te worden geverifieerd om te voltooien.

client
Software die lokaal wordt uitgevoerd op één computer of software die toegang heeft tot gedeelde bronnen die door een server via een netwerk worden geleverd.

standaard/algemeen
Alle functies die buiten het vak actief zijn of die meer dan 10 procent van de gebruikers bereiken.

scenario
Alle functies waarvoor speciale aanpassingen of gebruiksgevallen nodig zijn om deze in te stellen, bereiken minder dan 10 procent van de gebruikers.

server
Computer die is geconfigureerd voor het uitvoeren van software die wacht op en voldoet aan aanvragen van clientprocessen die op andere computers worden uitgevoerd.

  **Critical.** *A security vulnerability that would be rated as

met de grootste kans op schade.*

  **Important.** *A security vulnerability that would be rated as

met een aanzienlijk potentieel voor schade, maar minder dan Kritiek.*

  **Moderate.** *A security vulnerability that would be rated as

met matige kans op schade, maar minder dan Belangrijk.*

  **Low.** *A security vulnerability that would be rated as having

weinig kans op schade.*

targeted information disclosure
Mogelijkheid om opzettelijk gewenste informatie (doel) te selecteren.

tijdelijke DoS
Een tijdelijke DoS is een situatie waarin aan de volgende criteria wordt voldaan:

  • Het doel kan geen normale bewerkingen uitvoeren vanwege een aanval.

  • Het antwoord op een aanval is ongeveer dezelfde grootte als de grootte van de aanval.

  • Het doel keert terug naar het normale functionaliteitsniveau kort nadat de aanval is voltooid. De exacte definitie van 'binnenkort' moet voor elk product worden geëvalueerd.

Een server reageert bijvoorbeeld niet terwijl een aanvaller voortdurend een stroom pakketten over een netwerk verstuurt en de server een paar seconden nadat de pakketstream is gestopt, weer normaal wordt.

tijdelijke DoS met versterking

Een tijdelijke DoS met versterking is een situatie waarin aan de volgende criteria wordt voldaan:

  • Het doel kan geen normale bewerkingen uitvoeren vanwege een aanval.

  • De reactie op een aanval is grootheden die groter zijn dan de grootte van de aanval.

  • Het doel keert terug naar het normale functionaliteitsniveau nadat de aanval is voltooid, maar het duurt enige tijd (misschien enkele minuten).

Als u bijvoorbeeld een schadelijk pakket met 10 byte kunt verzenden en een antwoord van 2048k op het netwerk kunt veroorzaken, gebruikt u DoSing de bandbreedte door onze aanvalsinspanning te vergroten.

permanente DoS

Een permanente DoS is een doS die vereist is dat een beheerder alle onderdelen van het systeem start, opnieuw start of opnieuw installeert. Een beveiligingsprobleem waarmee het systeem automatisch opnieuw wordt gestart, is ook een permanente DoS.

Denial of Service (Server) Matrix

Geverifieerde vs. Anonieme aanval Standaard/gemeenschappelijk versus scenario Tijdelijke dos versus permanent Beoordeling
Geverifieerd Standaard/algemeen Permanent Gemiddeld
Geverifieerd Standaard/algemeen Tijdelijke doS met versterking Gemiddeld
Geverifieerd Standaard/algemeen Tijdelijke dos Laag
Geverifieerd Scenario Permanent Gemiddeld
Geverifieerd Scenario Tijdelijke doS met versterking Laag
Geverifieerd Scenario Tijdelijke dos Laag
Anoniem Standaard/algemeen Permanent Belangrijk
Anoniem Standaard/algemeen Tijdelijke doS met versterking Belangrijk
Anoniem Standaard/algemeen Tijdelijke dos Gemiddeld
Anoniem Scenario Permanent Belangrijk
Anoniem Scenario Tijdelijke doS met versterking Belangrijk
Anoniem Scenario Tijdelijke dos Laag

Inhouds disclaimer

Deze documentatie is geen uitputtende verwijzing naar de SDL-procedures bij Microsoft. Aanvullende betrouwbaarheidswerkzaamheden kunnen naar eigen goed inzicht worden uitgevoerd door productteams (maar niet noodzakelijkerwijs gedocumenteerd). Dit voorbeeld moet daarom niet worden beschouwd als het exacte proces dat Microsoft volgt om alle producten te beveiligen.

Deze documentatie wordt 'as-is' aangeboden. Informatie en weergaven die in dit document worden weergegeven, inclusief URL en andere verwijzingen naar internetwebsites, kunnen zonder kennisgeving worden gewijzigd. U draagt het risico om het te gebruiken.

Deze documentatie biedt u geen wettelijke rechten op intellectuele eigendommen in een Microsoft-product. U mag dit document kopiëren en gebruiken voor interne, verwijzingsdoeleinden.

© 2018 Microsoft Corporation. Alle rechten voorbehouden.

Gelicentieerdonder Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported

Opmerking: Dit voorbeelddocument is alleen ter illustratie bedoeld. In de onderstaande inhoud worden basiscriteria beschreven die u moet overwegen bij het maken van beveiligingsprocessen. Het is geen uitputtende lijst met activiteiten of criteria en mag niet als zodanig worden behandeld.

Raadpleeg de definities van termen in deze sectie.

Op deze pagina

Server
Client
Definities van termen