SDL-säkerhetsfelfältet (exempel)

  • Artikel

Obs! Det här exempeldokumentet är endast i illustrationssyfte. Innehållet som visas nedan beskriver grundläggande kriterier att tänka på när du skapar säkerhetsprocesser. Det är inte en fullständig förteckning över aktiviteter eller kriterier och bör inte behandlas som sådan.

Se definitionerna av termer i det här avsnittet.

Server

Se Denial of Service-matrisen för en fullständig matris med server-DoS-scenarier.

Serverfältet är vanligtvis inte lämpligt när användarinteraktion är en del av exploateringsprocessen. Om en kritisk säkerhetsrisk endast finns på serverprodukter och utnyttjas på ett sätt som kräver användarinteraktion och resulterar i att servern komprometteras, kan allvarlighetsgraden minskas från Kritisk till Viktig i enlighet med neat-/datadefinitionen för omfattande användarinteraktion som presenteras i början av klientens allvarlighetsgrad pivot.

Server
Kritiskt

Serversammanfattning: Nätverksmaskar eller oundvikliga fall där servern är "ägd".

  • Utökade privilegier: Möjligheten att antingen köra godtycklig kod eller få mer behörighet än auktoriserad

    • Fjärransluten anonym användare

      • Exempel:

        • Obehörig filsystemåtkomst: godtycklig skrivning till filsystemet

        • Körning av godtycklig kod

        • SQL-inmatning (som tillåter kodkörning)

    • Alla överträdelser av skrivåtkomst (AV), exploaterbara läs-AV:er eller heltalsspill i fjärransluten anonymt anropsbar kod
Viktigt!

Serversammanfattning: Icke-standardkritiska scenarier eller fall där det finns åtgärder som kan hjälpa till att förhindra kritiska scenarier.

  • Denial of Service: Måste vara "lätt att utnyttja" genom att skicka en liten mängd data eller på annat sätt snabbt induceras

    • Anonym

      • Beständiga dos

        • Exempel:

          • Att skicka ett enda skadligt TCP-paket resulterar i en blåskärmsdöd (BSoD)

          • Skicka ett litet antal paket som orsakar ett tjänstfel

      • Tillfällig dos med förstärkning

        • Exempel:

          • Skicka ett litet antal paket som gör att systemet är oanvändbart under en tidsperiod

          • En webbserver (t.ex. IIS) är nere i en minut eller längre

          • En enda fjärrklient som förbrukar alla tillgängliga resurser (sessioner, minne) på en server genom att upprätta sessioner och hålla dem öppna

    • Autentiserad

      • Beständiga doS mot en tillgång med högt värde

        • Exempel:

          • Skicka ett litet antal paket som orsakar ett tjänstfel för en högvärdestillgång i serverroller (certifikatserver, Kerberos-server, domänkontrollant), till exempel när en domänautentiserad användare kan utföra en DoS på en domänkontrollant

  • Utökade privilegier: Möjligheten att antingen köra godtycklig kod eller få mer behörighet än avsett

    • Fjärrautentiserad användare

    • Lokal autentiserad användare (Terminal Server)

      • Exempel:

        • Obehörig filsystemåtkomst: godtycklig skrivning till filsystemet

        • Körning av godtycklig kod

    • Alla skriv-AV:er, exploaterbara läs-AV:er eller heltalsspill i kod som kan nås av fjärranslutna eller lokala autentiserade användare som inte är administratörer (administratörsscenarier har inga säkerhetsproblem per definition, men är fortfarande tillförlitlighetsproblem.)

  • Avslöjande av information (mål)

    • Fall där angriparen kan hitta och läsa information var som helst i systemet, inklusive systeminformation som inte var avsedd eller utformad för att exponeras

      • Exempel:

        • Avslöjande av personligt identifierbar information (PII)

          • Avslöjande av PII (e-postadresser, telefonnummer, kreditkortsinformation)

          • Angriparen kan samla in PII utan användarens medgivande eller på ett hemligt sätt

  • Förfalskning

    • En entitet (dator, server, användare, process) kan maskeras som en specifik entitet (användare eller dator) efter eget val.

      • Exempel:

        • Webbservern använder klientcertifikatautentisering (SSL) felaktigt för att tillåta att en angripare identifieras som valfri användare

        • Det nya protokollet är utformat för att tillhandahålla fjärrklientautentisering, men det finns brister i protokollet som gör att en skadlig fjärranvändare kan ses som en annan användare som han eller hon väljer

  • Manipulering

    • Ändring av data med "högvärdestillgång" i ett vanligt scenario eller standardscenario där ändringen kvarstår efter att den berörda programvaran har startats om

    • Permanent eller permanent ändring av användar- eller systemdata som används i ett vanligt scenario eller standardscenario

      • Exempel:

        • Ändring av programdatafiler eller databaser i ett vanligt eller standardscenario, till exempel autentiserad SQL-inmatning

        • Förgiftning av proxycache i ett vanligt scenario eller standardscenario

        • Ändring av os- eller programinställningar utan användarmedgivande i ett vanligt scenario eller standardscenario

  • Säkerhetsfunktioner: Bryta eller kringgå eventuella säkerhetsfunktioner som tillhandahålls.
    Observera att en säkerhetsrisk i en säkerhetsfunktion klassificeras som "Viktigt" som standard, men klassificeringen kan justeras baserat på andra överväganden som beskrivs i SDL-felfältet.

    • Exempel:

      • Inaktivera eller kringgå en brandvägg utan att informera användarna eller få medgivande

      • Konfigurera om en brandvägg och tillåta anslutningar till andra processer
Medel

  • Denial of Service

    • Anonym

      • Tillfällig DoS utan förstärkning i en standardinstallation/vanlig installation.

        • Exempel:

          • Flera fjärrklienter använder alla tillgängliga resurser (sessioner, minne) på en server genom att upprätta sessioner och hålla dem öppna

    • Autentiserad

      • Beständiga dos

        • Exempel:

          • Inloggad Exchange-användare kan skicka ett specifikt e-postmeddelande och krascha Exchange Server, och kraschen beror inte på ett skriv-AV, exploaterbart läs-AV eller heltalsspill

      • Tillfällig DoS med förstärkning i en standardinstallation/vanlig installation

        • Exempel:

          • En vanlig SQL Server-användare kör en lagrad procedur som installeras av en viss produkt och förbrukar 100 % av processorn i några minuter

  • Avslöjande av information (mål)

    • Fall där angriparen enkelt kan läsa information om systemet från specifika platser, inklusive systeminformation, som inte var avsedd/avsedd att exponeras.

      • Exempel:

        • Riktad spridning av anonyma data

        • Målinriktat avslöjande av förekomsten av en fil

        • Riktad offentliggörande av ett filversionsnummer

  • Förfalskning

    • En entitet (dator, server, användare, process) kan maskeras som en annan, slumpmässig entitet som inte kan väljas specifikt.

      • Exempel:

        • Klienten autentiserar korrekt till servern, men servern räcker tillbaka en session från en annan slumpmässig användare som råkar vara ansluten till servern samtidigt

  • Manipulering

    • Permanent eller permanent ändring av användar- eller systemdata i ett specifikt scenario

      • Exempel:

        • Ändring av programdatafiler eller databaser i ett specifikt scenario

        • Förgiftning av proxycache i ett specifikt scenario

        • Ändring av inställningar för operativsystem/program utan användarmedgivande i ett specifikt scenario

    • Tillfällig ändring av data i ett vanligt eller standardscenario som inte bevaras efter omstart av operativsystemet/programmet/sessionen

  • Säkerhetsgarantier:

    • En säkerhetsgaranti är antingen en säkerhetsfunktion eller en annan produktfunktion/funktion som kunderna förväntar sig att erbjuda säkerhetsskydd. Kommunikationen har (explicit eller implicit) meddelande om att kunderna kan lita på funktionens integritet, och det är det som gör den till en säkerhetsgaranti. Säkerhetsbulletiner kommer att släppas för en brist i en säkerhetsgaranti som undergräver kundens beroende eller förtroende.

      • Exempel:

        • Processer som körs med normala "användarbehörigheter" kan inte få administratörsbehörighet om inte administratörslösenord/autentiseringsuppgifter har angetts via avsiktligt auktoriserade metoder.

        • Internetbaserade JavaScript som körs i Internet Explorer kan inte styra något av värdoperativsystemet om inte användaren uttryckligen har ändrat standardsäkerhetsinställningarna.
Lägst

  • Avslöjande av information (ej mål)

    • Körningsinformation

      • Exempel:

        • Läcka av slumpmässigt heapminne

  • Manipulering

    • Tillfällig ändring av data i ett specifikt scenario som inte bevaras efter omstart av operativsystemet/programmet

Klient

Omfattande användaråtgärder definieras som:

  • "Användarinteraktion" kan bara ske i klientdrivna scenarion.

  • Normala, enkla användaråtgärder, som att förhandsgranska e-post, visa lokala mappar eller filresurser, är inte omfattande användarinteraktion.

  • "Omfattande" omfattar användare som manuellt navigerar till en viss webbplats (till exempel genom att skriva in en URL) eller genom att klicka igenom ett ja/nej-beslut.

  • "Inte omfattande" innehåller användare som klickar via e-postlänkar.

  • NEAT-kvalificerare (gäller endast varningar). Bevisligen är UX:

    • Necessary (Behöver användaren verkligen presenteras med beslutet?)

    • Explained (visar UX all information som användaren behöver för att fatta det här beslutet?)

    • Enctionable (Finns det en uppsättning steg som användare kan vidta för att fatta bra beslut i både godartade och skadliga scenarier?)

    • Tested (Har varningen granskats av flera personer för att se till att människor förstår hur de ska svara på varningen?)

  • Förtydligande: Observera att effekten av omfattande användarinteraktion inte är en nivåminskning av allvarlighetsgraden, utan är och har varit en minskning av allvarlighetsgraden under vissa omständigheter där frasen omfattande användarinteraktion förekommer i felfältet. Avsikten är att hjälpa kunder att skilja snabbt spridande och maskbara attacker från dem, där attacken saktas ned eftersom användaren interagerar. Med det här felfältet kan du inte minska behörighetshöjningen under Viktigt på grund av användarinteraktion.

Klient
Kritiskt

Klientsammanfattning:

  • Nätverksmaskar eller oundvikliga vanliga webbläsar-/användningsscenarier där klienten "ägs" utan varningar eller uppmaningar.

  • Utökade privilegier (fjärransluten): Möjligheten att antingen köra godtycklig kod eller få mer behörighet än avsett

    • Exempel:

      • Obehörig filsystemåtkomst: skriva till filsystemet

      • Körning av godtycklig kod utan omfattande användaråtgärder

      • Alla skriv-AV:er, exploaterbara läs-AV:er, stackspill eller heltalsspill i fjärranropsbar kod (utan omfattande användaråtgärder)
Viktigt!

Klientsammanfattning:

  • Vanliga webbläsar-/användningsscenarier där klienten "ägs" med varningar eller uppmaningar, eller via omfattande åtgärder utan uppmaningar. Observera att detta inte diskriminerar kvaliteten/användbarheten hos en fråga och sannolikheten för att en användare klickar genom prompten, men bara att det finns en uppmaning om något formulär.

  • Utökade privilegier (fjärransluten)

    • Körning av godtycklig kod med omfattande användaråtgärder

      • Alla skriv-AV:er, exploaterbara läs-AV:er eller heltalsspill i fjärranropsbar kod (med omfattande användaråtgärder)

  • Utökade privilegier (lokal)

    • Lokal användare med låg behörighet kan höja sig till en annan användare, administratör eller ett lokalt system.

      • Alla skriv-AV:er, exploaterbara läs-AV:er eller heltalsspill i lokal anropsbar kod

  • Avslöjande av information (mål)

    • Fall där angriparen kan hitta och läsa information om systemet, inklusive systeminformation som inte var avsedd eller utformad för att exponeras.

    • Exempel:

      • Obehörig filsystemåtkomst: läsning från filsystemet

      • Avslöjande av PII

        • Avslöjande av PII (e-postadresser, telefonnummer)

      • Telefon hemscenarier

  • Denial of Service

    • Systemskada DoS kräver ominstallation av system och/eller komponenter.

      • Exempel:

        • Om du besöker en webbsida skadas registret som gör datorn ostartbar

    • Drive-by DoS

      • Kriterier:

        • Oautentiserad System DoS

        • Standardexponering

        • Inga standardsäkerhetsfunktioner eller gränsreduceringar (brandväggar)

        • Ingen användarinteraktion

        • Ingen granskning och straffspår

        • Exempel:

          • Drive-by Bluetooth-system DoS eller SMS i en mobiltelefon

  • Förfalskning

    • Möjlighet för angripare att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som användarna måste förlita sig på för att fatta giltiga förtroendebeslut i ett standard-/vanligt scenario. Ett förtroendebeslut definieras som varje gång användaren vidtar en åtgärd i tron att viss information presenteras av en viss entitet – antingen systemet eller någon specifik lokal eller fjärransluten källa.

      • Exempel:

        • Visa en annan URL i webbläsarens adressfält från URL:en för webbplatsen som webbläsaren faktiskt visar i ett standard-/vanligt scenario

        • Visa ett fönster över webbläsarens adressfält som ser identiskt ut med ett adressfält men som visar falska data i ett standard-/vanligt scenario

        • Visar ett annat filnamn i "Vill du köra det här programmet?" dialogruta än den fil som faktiskt läses in i ett standard-/vanligt scenario

        • Visa en "falsk" inloggningsprompt för att samla in autentiseringsuppgifter för användare eller konto

  • Manipulering

    • Permanent ändring av användardata eller data som används för att fatta förtroendebeslut i ett vanligt scenario eller standardscenario som kvarstår efter omstart av operativsystemet/programmet.

      • Exempel:

        • Förgiftning av webbläsarens cacheminne

        • Ändring av viktiga inställningar för operativsystem/program utan användarens medgivande

        • Ändring av användardata

  • Säkerhetsfunktioner: Bryta eller kringgå säkerhetsfunktioner som tillhandahålls

    • Exempel:

      • Inaktivera eller kringgå en brandvägg med att informera användaren eller få medgivande

      • Konfigurera om en brandvägg och tillåta anslutning till andra processer

      • Använda svag kryptering eller lagra nycklarna i oformaterad text

      • Förbikoppling av AccessCheck

      • Bitlocker bypass; till exempel inte kryptera en del av enheten

      • Förbikoppling av Syskey, ett sätt att avkoda syskey utan lösenord
Medel

  • Denial of Service

    • Permanent DoS kräver kall omstart eller orsakar blåskärms-/buggkontroll.

      • Exempel:

        • Om du öppnar ett Word-dokument blir datorn blåskärms-/buggkontroll.

  • Avslöjande av information (mål)

    • Fall där angriparen kan läsa information om systemet från kända platser, inklusive systeminformation som inte var avsedd eller utformad för att exponeras.

      • Exempel:

        • Riktad förekomst av filen

        • Målfilversionsnummer

  • Förfalskning

    • Möjlighet för angripare att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som användarna är vana vid att lita på i ett specifikt scenario. "Van vid förtroende" definieras som allt som en användare ofta är bekant med baserat på normal interaktion med operativsystemet eller programmet, men ser vanligtvis inte som ett "förtroendebeslut".

      • Exempel:

        • Förgiftning av webbläsarens cacheminne

        • Ändring av viktiga inställningar för operativsystem/program utan användarens medgivande

        • Ändring av användardata
Lägst

  • Denial of Service

    • Tillfällig DoS kräver omstart av programmet.

      • Exempel:

        • Om du öppnar ett HTML-dokument kraschar Internet Explorer

  • Förfalskning

    • Möjlighet för angripare att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som är en enda del av ett större attackscenario.

      • Exempel:

        • Användaren måste gå till en "skadlig" webbplats, klicka på en knapp i en förfalskningsdialogruta och är sedan sårbar för en säkerhetsrisk baserat på en annan webbläsarfel

  • Manipulering

    • Tillfällig ändring av data som inte finns kvar när operativsystemet/programmet har startats om.

    • Avslöjande av information (ej mål)

      • Exempel:

        • Läcka av slumpmässigt heapminne

Definition av villkor

Autentiserade
Alla attacker som måste inkludera autentisering av nätverket. Detta innebär att loggning av någon typ måste kunna ske så att angriparen kan identifieras.

Anonym
Alla attacker som inte behöver autentiseras för att slutföras.

client
Antingen programvara som körs lokalt på en enda dator eller programvara som har åtkomst till delade resurser som tillhandahålls av en server via ett nätverk.

default/common
Alla funktioner som är aktiva direkt eller som når mer än 10 procent av användarna.

scenario
Alla funktioner som kräver särskilda anpassnings- eller användningsfall för att aktivera och når mindre än 10 procent av användarna.

Server
Dator som är konfigurerad för att köra programvara som väntar på och uppfyller begäranden från klientprocesser som körs på andra datorer.

Kritisk
En säkerhetsrisk som bedöms ha störst risk för skador.

Viktigt
En säkerhetsrisk som skulle anses ha betydande risk för skador, men mindre än kritisk.

Måttlig
En säkerhetsrisk som bedöms ha måttlig risk för skador, men mindre än Viktigt.

Låg
En säkerhetsrisk som bedöms ha låg risk för skador.

riktad informationsupplysning
Möjlighet att avsiktligt välja (mål) önskad information.

tillfällig DoS
En tillfällig doS är en situation där följande kriterier uppfylls:

  • Målet kan inte utföra normala åtgärder på grund av en attack.

  • Svaret på en attack är ungefär lika stort som attackens storlek.

  • Målet återgår till den normala funktionalitetsnivån strax efter att attacken har slutförts. Den exakta definitionen av "inom kort" bör utvärderas för varje produkt.

En server svarar till exempel inte medan en angripare hela tiden skickar en ström med paket över ett nätverk och servern återgår till det normala några sekunder efter att paketströmmen stoppas.

tillfällig DoS med förstärkning

En tillfällig doS med förstärkning är en situation där följande kriterier uppfylls:

  • Målet kan inte utföra normala åtgärder på grund av en attack.

  • Svaret på en attack är större än attackens storlek.

  • Målet återgår till den normala funktionalitetsnivån när attacken är klar, men det tar lite tid (kanske några minuter).

Om du till exempel kan skicka ett skadligt 10-bytespaket och orsaka ett svar på 2 048 000 i nätverket, dosar du bandbredden genom att förstärka vårt angreppsarbete.

permanent DoS

En permanent DoS är en som kräver att en administratör startar, startar om eller installerar om hela eller delar av systemet. Alla säkerhetsrisker som automatiskt startar om systemet är också en permanent DoS.

Överbelastningsmatris (server)

Autentiserad eller anonym attack Standard/vanligt jämfört med scenario Tillfällig DoS jämfört med permanent Betyg
Autentiserad Standard/vanligt Permanent Medel
Autentiserad Standard/vanligt Tillfällig dos med förstärkning Medel
Autentiserad Standard/vanligt Tillfälliga dos Lägst
Autentiserad Scenario Permanent Medel
Autentiserad Scenario Tillfällig dos med förstärkning Lägst
Autentiserad Scenario Tillfälliga dos Lägst
Anonym Standard/vanligt Permanent Viktigt!
Anonym Standard/vanligt Tillfällig dos med förstärkning Viktigt!
Anonym Standard/vanligt Tillfälliga dos Medel
Anonym Scenario Permanent Viktigt!
Anonym Scenario Tillfällig dos med förstärkning Viktigt!
Anonym Scenario Tillfälliga dos Lägst

Ansvarsfriskrivning för innehåll

Den här dokumentationen är inte en fullständig referens till SDL-metoderna på Microsoft. Ytterligare säkerhetsarbete kan utföras av produktteam (men inte nödvändigtvis dokumenteras) efter eget gottfinnande. Därför bör det här exemplet inte betraktas som den exakta process som Microsoft följer för att skydda alla produkter.

Den här dokumentationen tillhandahålls som den är. Information och vyer som uttrycks i det här dokumentet, inklusive URL och andra referenser till internetwebbplatser, kan ändras utan föregående meddelande. Användande sker på egen risk.

Den här dokumentationen ger dig inga juridiska rättigheter till någon immateriell egendom i någon Microsoft-produkt. Du får kopiera och använda det här dokumentet som referens för interna syften.

© 2018 Microsoft Corporation. Med ensamrätt.

Licensierad underCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported