Dela via

SDL-säkerhetsfelfältet (exempel)

Obs! Det här exempeldokumentet är endast i illustrationssyfte. Innehållet som visas nedan beskriver grundläggande kriterier att tänka på när du skapar säkerhetsprocesser. Det är inte en fullständig förteckning över aktiviteter eller kriterier och bör inte behandlas som sådan.

Se definitionerna av termer i det här avsnittet.

Server

Se Denial of Service-matrisen för en fullständig matris med server-DoS-scenarier.

Serverfältet är vanligtvis inte lämpligt när användarinteraktion är en del av exploateringsprocessen. Om en kritisk säkerhetsrisk endast finns på serverprodukter och utnyttjas på ett sätt som kräver användarinteraktion och resulterar i att servern komprometteras, kan allvarlighetsgraden minskas från Kritisk till Viktig i enlighet med neat-/datadefinitionen för omfattande användarinteraktion som presenteras i början av klientens allvarlighetsgrad pivot.

Server
Kritiskt

Serversammanfattning: Nätverksmaskar eller oundvikliga fall där servern är "ägd".

  • Utökade privilegier: Möjligheten att antingen köra godtycklig kod eller få mer behörighet än auktoriserad

    • Fjärransluten anonym användare

      • Exempel:

        • Obehörig filsystemåtkomst: godtycklig skrivning till filsystemet

        • Körning av godtycklig kod

        • SQL-inmatning (som tillåter kodkörning)

    • Alla skrivåtkomstöverträdelser (AV), exploaterbara läs-åtkomstöverträdelser, eller heltalsspill i kod som kan anropas anonymt på distans
Viktigt!

Serversammanfattning: Icke-standardkritiska scenarier eller fall där det finns åtgärder som kan hjälpa till att förhindra kritiska scenarier.

  • Denial of Service: Måste vara "lätt att utnyttja" genom att skicka en liten mängd data eller på annat sätt snabbt åstadkommas

    • Anonym

      • Ihållande DoS-angrepp

        • Exempel:

          • Att skicka ett enda skadligt TCP-paket resulterar i en blåskärmsdöd (BSoD)

          • Skicka ett litet antal paket som orsakar ett tjänstfel

      • Tillfällig DoS-attack med förstärkning

        • Exempel:

          • Skicka ett litet antal paket som gör att systemet är oanvändbart under en tidsperiod

          • En webbserver (t.ex. IIS) är nere i en minut eller längre

          • En enda fjärrklient som förbrukar alla tillgängliga resurser (sessioner, minne) på en server genom att upprätta sessioner och hålla dem öppna

    • Autentiserad

      • Beständiga DoS mot en tillgång med högt värde

        • Exempel:

          • Skicka ett litet antal paket som orsakar ett tjänstfel för en högvärdestillgång i serverroller (certifikatserver, Kerberos-server, domänkontrollant), till exempel när en domänautentiserad användare kan utföra en DoS på en domänkontrollant

  • Utökade privilegier: Möjligheten att antingen köra godtycklig kod eller få mer behörighet än avsett

    • Fjärrautentiserad användare

    • Lokal autentiserad användare (Terminal Server)

      • Exempel:

        • Obehörig filsystemåtkomst: godtycklig skrivning till filsystemet

        • Körning av godtycklig kod

    • Alla skrivaccess-AV, exploaterbara lästillgångs-AV eller heltalsöverflöden i kod som kan nås av fjärranslutna eller lokala autentiserade användare som inte är administratörer (administratörsscenarier är per definition inte säkerhetsproblem, men kan ändå utgöra tillförlitlighetsproblem.)

  • Avslöjande av information (mål)

    • Fall där angriparen kan hitta och läsa information var som helst i systemet, inklusive systeminformation som inte var avsedd eller utformad för att exponeras

      • Exempel:

        • Avslöjande av personligt identifierbar information (PII)

          • Avslöjande av PII (e-postadresser, telefonnummer, kreditkortsinformation)

          • Angriparen kan samla in PII utan användarens medgivande eller på ett hemligt sätt

  • Förfalskning

    • En entitet (dator, server, användare, process) kan maskeras som en specifik entitet (användare eller dator) efter eget val.

      • Exempel:

        • Webbservern använder klientcertifikatautentisering (SSL) felaktigt för att tillåta att en angripare identifieras som valfri användare

        • Det nya protokollet är utformat för att tillhandahålla fjärrklientautentisering, men det finns brister i protokollet som gör att en skadlig fjärranvändare kan ses som en annan användare som han eller hon väljer

  • Förvanskning

    • Ändring av data med "högvärdestillgång" i ett vanligt scenario eller standardscenario där ändringen kvarstår efter att den berörda programvaran har startats om

    • Permanent eller permanent ändring av användar- eller systemdata som används i ett vanligt scenario eller standardscenario

      • Exempel:

        • Ändring av programdatafiler eller databaser i ett vanligt eller standardscenario, till exempel autentiserad SQL-inmatning

        • Förgiftning av proxycache i ett vanligt scenario eller standardscenario

        • Ändring av os- eller programinställningar utan användarmedgivande i ett vanligt scenario eller standardscenario

  • Säkerhetsfunktioner: Bryta eller kringgå eventuella säkerhetsfunktioner som tillhandahålls.
    Observera att en säkerhetsrisk i en säkerhetsfunktion klassificeras som "Viktigt" som standard, men klassificeringen kan justeras baserat på andra överväganden som beskrivs i SDL-felfältet.

    • Exempel:

      • Inaktivera eller kringgå en brandvägg utan att informera användarna eller få medgivande

      • Konfigurera om en brandvägg och tillåta anslutningar till andra processer
Måttlig

  • Tjänsteförnekelse

    • Anonym

      • Tillfällig DoS utan förstärkning i en standardinstallation/vanlig installation.

        • Exempel:

          • Flera fjärrklienter använder alla tillgängliga resurser (sessioner, minne) på en server genom att upprätta sessioner och hålla dem öppna

    • Autentiserad

      • Beständig överbelastningsattack

        • Exempel:

          • Inloggad Exchangeanvändare kan skicka ett specifikt e-postmeddelande och krascha Exchange Server, och kraschen beror inte på ett Skriv-AV, exploaterbart Läs-AV eller heltalsöverflöd.

      • Tillfällig DoS med förstärkning i en standardinstallation/vanlig installation

        • Exempel:

          • En vanlig SQL Server-användare kör en lagrad procedur som installeras av en viss produkt och förbrukar 100 % av processorn i några minuter

  • Avslöjande av information (mål)

    • Fall där angriparen enkelt kan läsa information om systemet från specifika platser, inklusive systeminformation, som inte var avsedd/avsedd att exponeras.

      • Exempel:

        • Riktad spridning av anonyma data

        • Målinriktat avslöjande av förekomsten av en fil

        • Riktad offentliggörande av ett filversionsnummer

  • Förfalskning

    • En entitet (dator, server, användare, process) kan maskeras som en annan, slumpmässig entitet som inte kan väljas specifikt.

      • Exempel:

        • Klienten autentiserar korrekt till servern, men servern räcker tillbaka en session från en annan slumpmässig användare som råkar vara ansluten till servern samtidigt

  • Förvanskning

    • Permanent eller ihållande ändring av användar- eller systemdata i ett specifikt scenario

      • Exempel:

        • Ändring av programdatafiler eller databaser i ett specifikt scenario

        • Proxycacheförgiftning i ett specifikt scenario

        • Ändring av inställningar för operativsystem/program utan användarmedgivande i ett specifikt scenario

    • Tillfällig ändring av data i ett vanligt eller standardscenario som inte bevaras efter omstart av operativsystemet/programmet/sessionen

  • Säkerhetsgarantier:

    • En säkerhetsgaranti är antingen en säkerhetsfunktion eller en annan produktfunktion/funktion som kunderna förväntar sig att erbjuda säkerhetsskydd. Kommunikationerna har, explicit eller implicit, meddelat att kunderna kan lita på funktionens integritet, och det är det som gör den till en säkerhetsförsäkran. Säkerhetsbulletiner kommer att släppas för en brist i en säkerhetsgaranti som undergräver kundens beroende eller förtroende.

      • Exempel:

        • Processer som körs med normala "användarbehörigheter" kan inte få administratörsbehörighet om inte administratörslösenord/autentiseringsuppgifter har angetts via avsiktligt auktoriserade metoder.

        • Internetbaserade JavaScript som körs i Internet Explorer kan inte styra något av värdoperativsystemet om inte användaren uttryckligen har ändrat standardsäkerhetsinställningarna.
Låg

  • Avslöjande av information (ej mål)

    • Körningsinformation

      • Exempel:

        • Läcka av slumpmässigt heapminne

  • Manipulering

    • Tillfällig ändring av data i ett specifikt scenario som inte bevaras efter omstart av operativsystemet/programmet

Klient

Omfattande användaråtgärder definieras som:

  • "Användarinteraktion" kan bara ske i klientdrivna scenarion.

  • Normala, enkla användaråtgärder, som att förhandsgranska e-post, visa lokala mappar eller filresurser, är inte omfattande användarinteraktion.

  • "Omfattande" omfattar användare som manuellt navigerar till en viss webbplats (till exempel genom att skriva in en URL) eller genom att klicka igenom ett ja/nej-beslut.

  • "Ej omfattande" inkluderar användare som klickar på e-postlänkar.

  • NEAT-kvalificerare (tillämpas endast på varningar). Det är tydligt att användarupplevelsen (UX) är:

    • Nödvändig (Behöver användaren verkligen ställas inför beslutet?)

    • Explained (visar UX all information som användaren behöver för att fatta det här beslutet?)

    • Enctionable (Finns det en uppsättning steg som användare kan vidta för att fatta bra beslut i både godartade och skadliga scenarier?)

    • Tested (Har varningen granskats av flera personer för att se till att människor förstår hur de ska svara på varningen?)

  • Förtydligande: Observera att effekten av omfattande användarinteraktion inte är en nivåminskning av allvarlighetsgraden, utan är och har varit en minskning av allvarlighetsgraden under vissa omständigheter där frasen omfattande användarinteraktion förekommer i felfältet. Avsikten är att hjälpa kunder att skilja snabbt spridande och maskbara attacker från dem, där attacken saktas ned eftersom användaren interagerar. Med den här felspärren kan du inte minska privilegieförhöjningen under nivån Viktigt på grund av användarinteraktion.

Klient
Kritiskt

Klientsammanfattning:

  • Nätverksmaskar eller oundvikliga vanliga webbläsar-/användningsscenarier där klienten "ägs" utan varningar eller uppmaningar.

  • Utökade privilegier (fjärransluten): Möjligheten att antingen köra godtycklig kod eller få mer behörighet än avsett

    • Exempel:

      • Obehörig filsystemåtkomst: skriva till filsystemet

      • Körning av godtycklig kod utan omfattande användaråtgärder

      • Alla skriv-AV, exploaterbara läs-AV, stacköverflöd eller heltalsöverflöd i fjärranropbar kod (utan omfattande användaråtgärd)
Viktigt!

Klientsammanfattning:

  • Vanliga webbläsar-/användningsscenarier där klienten "ägs" med varningar eller uppmaningar, eller via omfattande åtgärder utan uppmaningar. Observera att detta inte diskriminerar kvaliteten/användbarheten hos en prompt och sannolikheten för att en användare klickar på prompten, utan bara att det finns någon form av prompt.

  • Förhöjning av privilegier (fjärr)

    • Körning av godtycklig kod med omfattande användaråtgärder

      • Alla skriv-AV:er, exploaterbara läs-AV:er eller heltalsspill i fjärranropsbar kod (med omfattande användaråtgärder)

  • Utökade privilegier (lokal)

    • Lokal användare med låg behörighet kan höja sig till en annan användare, administratör eller ett lokalt system.

      • Alla skriv-AV, utnyttjningsbara läs-AV eller heltalsöverflöden i lokal anropsbar kod

  • Avslöjande av information (mål)

    • Fall där angriparen kan hitta och läsa information om systemet, inklusive systeminformation som inte var avsedd eller utformad för att exponeras.

    • Exempel:

      • Obehörig filsystemåtkomst: läsning från filsystemet

      • Avslöjande av PII

        • Avslöjande av PII (e-postadresser, telefonnummer)

      • Scenarier för hemringning

  • Tjänsteangrepp

    • Systemskada DoS kräver ominstallation av system och/eller komponenter.

      • Exempel:

        • Om du besöker en webbsida skadas registret som gör datorn ostartbar

    • Drive-by DoS

      • Kriterier:

        • Oautentiserad System DoS

        • Standardexponering

        • Inga standardsäkerhetsfunktioner eller gränsreduceringar (brandväggar)

        • Ingen användarinteraktion

        • Ingen spår av granskning och bestraffning

        • Exempel:

          • Drive-by Bluetooth-system DoS eller SMS i en mobiltelefon

  • Förfalskning

    • Möjlighet för angripare att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som användarna måste förlita sig på för att fatta giltiga förtroendebeslut i ett standard-/vanligt scenario. Ett förtroendebeslut definieras som varje gång användaren vidtar en åtgärd i tron att viss information presenteras av en viss entitet – antingen systemet eller någon specifik lokal eller fjärransluten källa.

      • Exempel:

        • Visa en annan URL i webbläsarens adressfält från URL:en för webbplatsen som webbläsaren faktiskt visar i ett standard-/vanligt scenario

        • Visa ett fönster över webbläsarens adressfält som ser identiskt ut med ett adressfält men som visar falska data i ett standard-/vanligt scenario

        • Visar ett annat filnamn i "Vill du köra det här programmet?" dialogruta än den fil som faktiskt läses in i ett standard-/vanligt scenario

        • Visa en "falsk" inloggningsprompt för att samla in autentiseringsuppgifter för användare eller konto

  • Manipulering

    • Permanent ändring av användardata eller data som används för att fatta förtroendebeslut i ett vanligt scenario eller standardscenario som kvarstår efter omstart av operativsystemet/programmet.

      • Exempel:

        • Förgiftning av webbläsarens cacheminne

        • Ändring av viktiga inställningar för operativsystem/program utan användarens medgivande

        • Ändring av användardata

  • Säkerhetsfunktioner: Bryta eller kringgå säkerhetsfunktioner som tillhandahålls

    • Exempel:

      • Inaktivera eller kringgå en brandvägg med att informera användaren eller få medgivande

      • Konfigurera om en brandvägg och tillåta anslutning till andra processer

      • Använda svag kryptering eller lagra nycklarna i oformaterad text

      • Förbikoppling av AccessCheck

      • Förbikoppling av Bitlocker; exempelvis att inte kryptera en del av enheten

      • Förbikoppling av Syskey, ett sätt att avkoda syskey utan lösenord
Måttlig

  • Överbelastningsattack

    • Permanent DoS kräver kall omstart eller orsakar blåskärms-/buggkontroll.

      • Exempel:

        • Om du öppnar ett Word-dokument orsakar det ett blåskärmsfel.

  • Avslöjande av information (mål)

    • Fall där angriparen kan läsa information om systemet från kända platser, inklusive systeminformation som inte var avsedd eller utformad för att exponeras.

      • Exempel:

        • Specifik förekomst av fil

        • Versionsnummer för målfil

  • Förfalskning

    • Möjlighet för angripare att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som användarna är vana vid att lita på i ett specifikt scenario. "Van vid förtroende" definieras som allt som en användare ofta är bekant med baserat på normal interaktion med operativsystemet eller programmet, men ser vanligtvis inte som ett "förtroendebeslut".

      • Exempel:

        • Förgiftning av webbläsarens cacheminne

        • Ändring av viktiga inställningar för operativsystem/program utan användarens medgivande

        • Ändring av användardata
Låg

  • Tjänstevägran

    • Tillfällig DoS kräver omstart av programmet.

      • Exempel:

        • Om du öppnar ett HTML-dokument kraschar Internet Explorer

  • Förfalskning

    • Möjlighet för angripare att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som är en enda del av ett större attackscenario.

      • Exempel:

        • Användaren måste gå till en "skadlig" webbplats, klicka på en knapp i en förfalskningsdialogruta och är sedan sårbar för en säkerhetsrisk baserat på en annan webbläsarfel

  • Manipulering

    • Tillfällig ändring av data som inte finns kvar när operativsystemet/programmet har startats om.

    • Avslöjande av information (inte riktad)

      • Exempel:

        • Läckage av slumpmässigt minne från heapen

Definition av villkor

Autentiserade
Alla attacker som måste inkludera autentisering av nätverket. Detta innebär att loggning av någon typ måste kunna ske så att angriparen kan identifieras.

anonym
Alla attacker som inte behöver autentiseras för att slutföras.

client
Antingen programvara som körs lokalt på en enda dator eller programvara som har åtkomst till delade resurser som tillhandahålls av en server via ett nätverk.

standard/vanlig
Alla funktioner som är aktiva direkt eller som når mer än 10 procent av användarna.

scenario
Alla funktioner som kräver särskilda anpassnings- eller användningsfall för att aktivera och når mindre än 10 procent av användarna.

server
Dator som är konfigurerad för att köra programvara som väntar på och uppfyller begäranden från klientprocesser som körs på andra datorer.

Kritisk
En säkerhetsrisk som bedöms ha störst risk för skador.

Viktigt
En säkerhetsrisk som skulle anses ha betydande risk för skador, men mindre än kritisk.

Moderat
En säkerhetsrisk som bedöms ha måttlig risk för skador, men mindre än Viktigt.

Låg
En säkerhetsrisk som bedöms ha låg risk för skador.

riktad informationsupplysning
Möjlighet att avsiktligt välja (mål) önskad information.

tillfällig DoS
En tillfällig doS är en situation där följande kriterier uppfylls:

  • Målet kan inte utföra normala åtgärder på grund av en attack.

  • Svaret på en attack är ungefär lika stort som attackens storlek.

  • Målet återgår till den normala funktionalitetsnivån strax efter att attacken har slutförts. Den exakta definitionen av "inom kort" bör utvärderas för varje produkt.

En server svarar till exempel inte medan en angripare hela tiden skickar en ström med paket över ett nätverk och servern återgår till det normala några sekunder efter att paketströmmen stoppas.

tillfällig DoS med förstärkning

En tillfällig doS med förstärkning är en situation där följande kriterier uppfylls:

  • Målet kan inte utföra normala åtgärder på grund av en attack.

  • Svaret på en attack är större än attackens storlek.

  • Målet återgår till den normala funktionalitetsnivån när attacken är klar, men det tar lite tid (kanske några minuter).

Om du till exempel kan skicka ett skadligt 10-bytespaket och orsaka ett svar på 2048k i nätverket, dosar du bandbredden genom att förstärka vårt angreppsarbete.

permanent DoS

En permanent DoS är en som kräver att en administratör startar, startar om eller installerar om hela eller delar av systemet. Alla säkerhetsrisker som automatiskt startar om systemet är också en permanent DoS.

Tjänsteavbrotts-matris (server)

Autentiserad eller anonym attack Standard/vanligt jämfört med scenario Tillfällig DoS jämfört med permanent Betyg
Autentiserad Standard/vanligt Permanent Måttlig
Autentiserad Standard/vanligt Tillfällig Denial of Service med förstärkning Måttlig
Autentiserad Standard/vanligt Tillfällig DoS-attack Låg
Autentiserad Scenarie Permanent Måttlig
Autentiserad Scenario Tillfällig DoS-attack med förstärkning Låg
Autentiserad Scenario Tillfälligt tjänsteavbrott Låg
Anonym Standard/vanligt Permanent Viktigt!
Anonym Standard/vanligt Tillfällig dos med förstärkning Viktigt!
Anonym Standard/vanligt Tillfällig DoS-attack Måttlig
Anonym Scenario Permanent Viktigt!
Anonym Scenario Tillfällig DoS med amplification Viktigt!
Anonym Scenario Tillfällig överbelastningsattack Låg

Ansvarsfriskrivning för innehåll

Den här dokumentationen är inte en fullständig referens till SDL-metoderna på Microsoft. Ytterligare säkerhetsarbete kan utföras av produktteam (men inte nödvändigtvis dokumenteras) efter eget gottfinnande. Därför bör det här exemplet inte betraktas som den exakta process som Microsoft följer för att skydda alla produkter.

Den här dokumentationen tillhandahålls som den är. Information och vyer som uttrycks i det här dokumentet, inklusive URL och andra referenser till internetwebbplatser, kan ändras utan föregående meddelande. Användande sker på egen risk.

Den här dokumentationen ger dig inga juridiska rättigheter till någon immateriell egendom i någon Microsoft-produkt. Du får kopiera och använda det här dokumentet som referens för interna syften.

© 2018 Microsoft Corporation. Med ensamrätt.

Licensierad underCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported
  • Last updated on