SDL-beveiligingsfoutbalk (voorbeeld)

Opmerking: dit voorbeelddocument is alleen bedoeld voor illustratiedoeleinden. De onderstaande inhoud bevat basiscriteria die u moet overwegen bij het maken van beveiligingsprocessen. Het is geen volledige lijst van activiteiten of criteria en mag niet als zodanig worden behandeld.

Raadpleeg de definities van termen in deze sectie.

Server

Raadpleeg de Denial of Service Matrix voor een volledige matrix met doS-serverscenario's.

De serverbalk is meestal niet geschikt wanneer gebruikersinteractie deel uitmaakt van het exploitatieproces. Als er alleen een kritiek beveiligingsprobleem bestaat op serverproducten en wordt misbruikt op een manier die interactie van de gebruiker vereist en leidt tot inbreuk op de server, kan de ernst worden verminderd van Kritiek naar Belangrijk in overeenstemming met de NETTE/gegevensdefinitie van uitgebreide gebruikersinteractie die aan het begin van de ernst van de client wordt gepresenteerd.

Server

Cruciaal / Kritisch

Serveroverzicht: netwerkwormen of onvermijdelijke gevallen waarin de server 'eigendom' is.

  • Uitbreiding van bevoegdheden: de mogelijkheid om willekeurige code uit te voeren of meer bevoegdheden te verkrijgen dan geautoriseerd

    • Anonieme gebruiker op afstand

      • Voorbeelden:

        • Onbevoegde bestandssysteemtoegang: willekeurig schrijven naar het bestandssysteem

        • Uitvoering van willekeurige code

        • SQL-injectie (waarmee code kan worden uitgevoerd)

    • Alle schendingen van schrijftoegang (AV), misbruikbare lees AV's of overloop van gehele getallen in op afstand anoniem aanroepbare code

Belangrijk

Serversamenvatting: niet-standaard kritieke scenario's of gevallen waarin er maatregelen bestaan die kunnen helpen kritieke scenario's te voorkomen.

  • Denial of service: Moet 'eenvoudig te exploiteren' zijn door een kleine hoeveelheid gegevens te verzenden of anderszins snel te worden geïnduceerd

    • Anoniem

      • Voortdurende Denial of Service

        • Voorbeelden:

          • Het verzenden van één schadelijk TCP-pakket resulteert in een Blue Screen of Death (BSoD)

          • Een klein aantal pakketten verzenden dat een servicefout veroorzaakt

      • Tijdelijke Denial-of-Service met versterking

        • Voorbeelden:

          • Een klein aantal pakketten verzenden waardoor het systeem gedurende een bepaalde periode onbruikbaar is

          • Een webserver (zoals IIS) is een minuut of langer niet beschikbaar

          • Eén externe client die alle beschikbare resources (sessies, geheugen) op een server verbruikt door sessies tot stand te brengen en open te houden

    • Geverifieerd

      • Permanente DoS tegen een waardevol bezit

        • Voorbeeld:

          • Een klein aantal pakketten verzenden dat een servicefout veroorzaakt voor een asset met een hoge waarde in serverfuncties (certificaatserver, Kerberos-server, domeincontroller), bijvoorbeeld wanneer een door een domein geverifieerde gebruiker een DoS op een domeincontroller kan uitvoeren

  • Uitbreiding van bevoegdheden: de mogelijkheid om willekeurige code uit te voeren of om meer bevoegdheden te verkrijgen dan bedoeld

    • Geverifieerde gebruiker op afstand

    • Lokale geverifieerde gebruiker (Terminal Server)

      • Voorbeelden:

        • Onbevoegde bestandssysteemtoegang: willekeurig schrijven naar het bestandssysteem

        • Uitvoering van willekeurige code

    • Alle schrijf-AV's, exploiteerbare lees-AV's of overloop van gehele getallen in code die toegankelijk zijn voor externe of lokale geverifieerde gebruikers die geen beheerders zijn (beheerdersscenario's hebben geen beveiligingsproblemen per definitie, maar zijn nog steeds betrouwbaarheidsproblemen.)

  • Openbaarmaking van informatie (gericht)

    • Gevallen waarin de aanvaller informatie kan vinden en lezen vanaf elke locatie op het systeem, inclusief systeeminformatie die niet is bedoeld of ontworpen om te worden blootgesteld

      • Voorbeelden:

        • Openbaarmaking van persoonsgegevens (PII)

          • Openbaarmaking van PII (e-mailadressen, telefoonnummers, creditcardgegevens)

          • Aanvaller kan PII verzamelen zonder toestemming van de gebruiker of op een geheime manier

  • Adresvervalsing (spoofing)

    • Een entiteit (computer, server, gebruiker, proces) kan zich voordoen als een specifieke entiteit (gebruiker of computer) van zijn/haar keuze.

      • Voorbeelden:

        • Webserver gebruikt clientcertificaatverificatie (SSL) onjuist om een aanvaller te laten identificeren als een gebruiker van zijn/haar keuze

        • Nieuw protocol is ontworpen om externe clientverificatie te bieden, maar er bestaat een fout in het protocol waarmee een kwaadwillende externe gebruiker kan worden gezien als een andere gebruiker van zijn of haar keuze

  • Manipulatie

    • Wijziging van gegevens met een hoge waarde in een gemeenschappelijk of standaardscenario waarbij de wijziging zich blijft voordoen na het opnieuw opstarten van de betreffende software

    • Permanente of aanhoudende wijziging van gebruikers- of systeemgegevens die in een gemeenschappelijk of standaardscenario worden gebruikt.

      • Voorbeelden:

        • Wijziging van toepassingsgegevensbestanden of -databases in een gemeenschappelijk of standaardscenario, zoals geverifieerde SQL-injectie

        • Proxycachevergiftiging in een veelvoorkomend of standaardscenario

        • Wijziging van besturingssysteem- of toepassingsinstellingen zonder gebruikerstoestemming in een algemeen of standaardscenario

  • Beveiligingsfuncties: Het breken of omzeilen van beveiligingsvoorzieningen.
    Houd er rekening mee dat een beveiligingsprobleem in een beveiligingsfunctie standaard 'Belangrijk' is, maar de classificatie kan worden aangepast op basis van andere overwegingen, zoals beschreven in de SDL-bugbalk.

    • Voorbeelden:

      • Een firewall uitschakelen of omzeilen zonder gebruikers te informeren of toestemming te krijgen

      • Een firewall opnieuw configureren en verbindingen met andere processen toestaan

Matig
  • Dienstweigering

    • Anoniem

      • Tijdelijke DoS zonder versterking in een standaard/algemene installatie.

        • Voorbeeld:

          • Meerdere externe clients die alle beschikbare resources (sessies, geheugen) op een server gebruiken door sessies tot stand te brengen en ze open te houden

    • Geverifieerd

      • Voortdurende Denial of Service

        • Voorbeeld:

          • Een aangemelde Exchange-gebruiker kan een specifiek e-mailbericht verzenden en daarmee de Exchange-server laten crashen; de crash is niet te wijten aan een schrijf-AV, een exploiteerbare lees-AV of een overloop van gehele getallen.

      • Tijdelijke DoS met amplification in een standaard/algemene installatie

        • Voorbeeld:

          • Gewone SQL Server-gebruiker voert een opgeslagen procedure uit die door een bepaald product is geïnstalleerd en verbruikt een paar minuten 100% van de CPU

  • Openbaarmaking van informatie (gericht)

    • Gevallen waarin de aanvaller eenvoudig informatie over het systeem kan lezen vanaf specifieke locaties, inclusief systeeminformatie, die niet bedoeld of ontworpen is om te worden blootgesteld.

      • Voorbeeld:

        • Gerichte openbaarmaking van anonieme gegevens

        • Gerichte openbaarmaking van het bestaan van een bestand

        • Gerichte openbaarmaking van een versienummer van een bestand

  • Adresvervalsing (spoofing)

    • Een entiteit (computer, server, gebruiker, proces) kan zich voordoen als een andere, willekeurige entiteit die niet specifiek kan worden geselecteerd.

      • Voorbeeld:

        • De client wordt correct geverifieerd bij de server, maar server stuurt een sessie terug van een andere willekeurige gebruiker die op hetzelfde moment met de server is verbonden

  • Manipulatie

    • Permanente of aanhoudende wijziging van gebruikers- of systeemgegevens in een specifiek scenario

      • Voorbeelden:

        • Wijziging van toepassingsgegevensbestanden of -databases in een specifiek scenario

        • Proxycachevergiftiging in een specifiek scenario

        • Wijziging van besturingssysteem-/toepassingsinstellingen zonder toestemming van de gebruiker in een specifiek scenario

    • Tijdelijke wijziging van gegevens in een algemeen of standaardscenario dat niet behouden blijft na het opnieuw opstarten van het besturingssysteem/de toepassing-/sessie

  • Beveiligingsgaranties:

    • Een beveiligingsgarantie is een beveiligingsfunctie of een andere productfunctie die klanten verwachten beveiliging te bieden. Communicaties hebben (expliciet of impliciet) gemeld dat klanten kunnen vertrouwen op de integriteit van de functie, en dat is wat het een beveiligingsgarantie biedt. Beveiligingsbulletins worden vrijgegeven voor een tekortkoming in een zekerheidsgarantie die het vertrouwen of de afhankelijkheid van de klant aantasten.

      • Voorbeelden:

        • Processen die worden uitgevoerd met normale 'gebruikersbevoegdheden' kunnen geen beheerdersbevoegdheden krijgen, tenzij beheerderswachtwoorden/-referenties zijn opgegeven via opzettelijk geautoriseerde methoden.

        • JavaScript op internet dat wordt uitgevoerd in Internet Explorer kan niets beheren van het hostbesturingssysteem, tenzij de gebruiker de standaardbeveiligingsinstellingen expliciet heeft gewijzigd.

Laag
  • Openbaarmaking van informatie (ongericht)

    • Runtime-informatie

      • Voorbeeld:

        • Lek van willekeurig heap-geheugen

  • Manipulatie

    • Tijdelijke wijziging van gegevens in een specifiek scenario dat niet behouden blijft na het opnieuw opstarten van het besturingssysteem/de toepassing

Klant

Uitgebreide gebruikersactie wordt gedefinieerd als:

  • Gebruikersinteractie kan alleen plaatsvinden in clientgestuurd scenario.

  • Normale, eenvoudige gebruikersacties, zoals het bekijken van een voorbeeld van e-mail, het weergeven van lokale mappen of bestandsshares, zijn geen uitgebreide gebruikersinteractie.

  • 'Uitgebreid' omvat gebruikers die handmatig naar een bepaalde website navigeren (bijvoorbeeld typen in een URL) of door te klikken op een ja/nee-beslissing.

  • Gebruikers die op links in e-mails klikken, vallen onder "Niet uitgebreid".

  • NEAT-kwalificatie (alleen van toepassing op waarschuwingen). Overduidelijk is de UX:

    • Necessary (is het echt nodig dat de gebruiker een beslissing moet nemen?)

    • Explained (Bevat de UX alle informatie die de gebruiker nodig heeft om deze beslissing te nemen?)

    • Actiegericht (Zijn er stappen die gebruikers kunnen nemen voor goede beslissingen in zowel goedaardige als kwaadwillende scenario's?)

    • Getest (Is de waarschuwing beoordeeld door meerdere personen om ervoor te zorgen dat mensen begrijpen hoe ze moeten reageren op de waarschuwing?)

  • Verduidelijking: Houd er rekening mee dat het effect van uitgebreide gebruikersinteractie niet één niveauvermindering is in ernst, maar is en is een vermindering van de ernst in bepaalde omstandigheden waarbij de woordgroep uitgebreide gebruikersinteractie op de bugbalk wordt weergegeven. Het doel is om klanten te helpen bij het onderscheiden van snel verspreidende en wormbare aanvallen van die, waarbij door interactie van de gebruiker, de aanval wordt vertraagd. Met deze bugbalk kunt u de uitbreiding van bevoegdheden onder Belangrijk niet verminderen vanwege gebruikersinteractie.

Klant

Cruciaal / Kritisch

Clientoverzicht:

  • Netwerkwormen of onvermijdelijke browse-/gebruiksscenario's waarbij de client zonder waarschuwingen of prompts 'overgenomen' is.

  • Uitbreiding van bevoegdheden (extern): de mogelijkheid om willekeurige code uit te voeren of om meer bevoegdheden te verkrijgen dan bedoeld

    • Voorbeelden:

      • Onbevoegde toegang tot het bestandssysteem: schrijven naar het bestandssysteem

      • Uitvoering van willekeurige code zonder uitgebreide gebruikersactie

      • Alle schrijf-AV's, exploiteerbare lees-AV's, stack-overloop of gehele getallen in extern aanroepbare code (zonder uitgebreide gebruikersactie)

Belangrijk

Clientoverzicht:

  • Veelvoorkomende browse-/gebruiksscenario's waarin de client wordt beheerst met waarschuwingen of prompts, of door uitgebreide acties zonder prompts. Houd er rekening mee dat dit geen onderscheid maakt tussen de kwaliteit/bruikbaarheid van een prompt en waarschijnlijkheid dat een gebruiker door de prompt kan klikken, maar alleen dat er een prompt van een bepaald formulier bestaat.

  • Verhoging van rechten (op afstand)

    • Uitvoering van willekeurige code met uitgebreide gebruikersactie

      • Alle schrijf-AV's, exploiteerbare lees-AV's of gehele getallen in externe aanroepbare code (met uitgebreide gebruikersactie)

  • Uitbreiding van bevoegdheden (lokaal)

    • Lokale gebruiker met lage bevoegdheden kan zichzelf uitbreiden naar een andere gebruiker, beheerder of lokaal systeem.

      • Alle schrijf-AV's, exploiteerbare lees-AV's of gehele getallen in lokale aanroepbare code

  • Openbaarmaking van informatie (gericht)

    • Gevallen waarin de aanvaller informatie op het systeem kan vinden en lezen, inclusief systeeminformatie die niet is bedoeld of ontworpen om te worden blootgesteld.

    • Voorbeeld:

      • Onbevoegde toegang tot het bestandssysteem: lezen vanuit het bestandssysteem

      • Openbaarmaking van PII

        • Openbaarmaking van PII (e-mailadressen, telefoonnummers)

      • Telefoonscenario's voor thuisgebruik

  • Dienstweigering

    • Een DoS-aanval door systeemcorruptie vereist het opnieuw installeren van het systeem en/of de componenten.

      • Voorbeeld:

        • Een webpagina bezoeken veroorzaakt beschadiging van het register waardoor de computer niet kan worden gestart

    • DoS-aanval zonder directe interactie

      • Criteria:

        • Niet-geauthenticeerde systeem DoS

        • Standaardblootstelling

        • Geen standaardbeveiligingsfuncties of grensbeperking (firewalls)

        • Geen gebruikersinteractie

        • Geen audit- en strafproces

        • Voorbeeld:

          • Drive-by Bluetooth-systeem DoS of SMS op een mobiele telefoon

  • Adresvervalsing (spoofing)

    • De mogelijkheid voor aanvaller om een gebruikersinterface te presenteren die verschilt van maar visueel identiek is aan de gebruikersinterface waarop gebruikers moeten vertrouwen om geldige vertrouwensbeslissingen te nemen in een standaard/gemeenschappelijk scenario. Een vertrouwensbeslissing wordt gedefinieerd wanneer de gebruiker een actie onderneemt die denkt dat bepaalde informatie wordt gepresenteerd door een bepaalde entiteit: het systeem of een specifieke lokale of externe bron.

      • Voorbeelden:

        • Een andere URL weergeven in de adresbalk van de browser van de URL van de site die de browser daadwerkelijk weergeeft in een standaard/gemeenschappelijk scenario

        • Een venster weergeven op de adresbalk van de browser die identiek is aan een adresbalk, maar valse gegevens in een standaard-/gemeenschappelijk scenario weergeven

        • Een andere bestandsnaam weergeven in 'Wilt u dit programma uitvoeren?' dialoogvenster dan dat van het bestand dat daadwerkelijk wordt geladen in een standaard/gebruikelijk scenario

        • Een 'vals' aanmeldingsprompt weergeven om gebruikers- of accountreferenties te verzamelen

  • Manipulatie

    • Permanente wijziging van alle gebruikersgegevens of gegevens die worden gebruikt om vertrouwensbeslissingen te nemen in een algemeen of standaardscenario dat zich blijft voordoen na het opnieuw opstarten van het besturingssysteem/de toepassing.

      • Voorbeelden:

        • Vergiftiging van webbrowsercache

        • Wijziging van belangrijke instellingen voor het besturingssysteem/de toepassing zonder toestemming van de gebruiker

        • Wijziging van gebruikersgegevens

  • Beveiligingsfuncties: Het doorbreken of omzeilen van enige beschikbare beveiligingsfunctie.

    • Voorbeelden:

      • Een firewall uitschakelen of overslaan met het informeren van de gebruiker of het verkrijgen van toestemming

      • Een firewall opnieuw configureren en verbinding met andere processen toestaan

      • Zwakke versleuteling gebruiken of de sleutels opslaan in tekst zonder opmaak

      • Omzeiling van AccessCheck

      • Bitlocker omzeilen; bijvoorbeeld een deel van de harde schijf niet versleutelen

      • Syskey bypass, een manier om de syskey te decoderen zonder het wachtwoord

Matig
  • Dienstweigering

    • Permanente DoS vereist een cold reboot of veroorzaakt een Blue Screen/bugcontrole.

      • Voorbeeld:

        • Als u een Word-document opent, krijgt de computer een blauwscherm/foutcontrole.

  • Openbaarmaking van informatie (gericht)

    • Gevallen waarin de aanvaller informatie op het systeem van bekende locaties kan lezen, inclusief systeeminformatie die niet bedoeld is of die is ontworpen om te worden blootgesteld.

      • Voorbeelden:

        • Gericht bestaan van bestand

        • Versienummer van doelbestand

  • Adresvervalsing (spoofing)

    • De mogelijkheid voor aanvallers om een gebruikersinterface te presenteren die verschilt van maar visueel identiek is aan de gebruikersinterface die gebruikers gewend zijn om te vertrouwen in een specifiek scenario. 'Gewend aan vertrouwen' wordt gedefinieerd als alles waarmee een gebruiker vaak bekend is op basis van normale interactie met het besturingssysteem of de toepassing, maar wordt meestal niet gezien als een 'vertrouwensbeslissing'.

      • Voorbeelden:

        • Vergiftiging van webbrowsercache

        • Wijziging van belangrijke instellingen voor het besturingssysteem/de toepassing zonder toestemming van de gebruiker

        • Wijziging van gebruikersgegevens

Laag
  • Dienstweigering

    • Tijdelijke DoS vereist opnieuw opstarten van de toepassing.

      • Voorbeeld:

        • Als u een HTML-document opent, loopt Internet Explorer vast

  • Adresvervalsing (spoofing)

    • De mogelijkheid voor aanvaller om een gebruikersinterface te presenteren die verschilt van maar visueel identiek is aan de gebruikersinterface die één deel van een groter aanvalsscenario is.

      • Voorbeeld:

        • Gebruiker moet naar een 'schadelijke' website gaan, op een knop in een vervalst dialoogvenster klikken en is vervolgens vatbaar voor een beveiligingsprobleem door een andere browserfout.

  • Manipulatie

    • Tijdelijke wijziging van gegevens die niet behouden blijven na het opnieuw opstarten van het besturingssysteem/de toepassing.

    • Openbaarmaking van informatie (ongericht)

      • Voorbeeld:

        • Lek van willekeurig heap-geheugen

Definitie van termen

Geverifieerde
Elke aanval die verificatie door het netwerk moet omvatten. Dit betekent dat logboekregistratie van een bepaald type moet kunnen plaatsvinden, zodat de aanvaller kan worden geïdentificeerd.

anoniem
Elke aanval die niet hoeft te worden geverifieerd om te worden voltooid.

client
Software die lokaal wordt uitgevoerd op één computer of software die toegang heeft tot gedeelde resources die door een server via een netwerk worden geleverd.

standaard/algemeen
Alle functies die out-of-the-box actief zijn of die meer dan 10 procent van de gebruikers bereiken.

scenario
Alle functies waarvoor speciale aanpassingen of use cases nodig zijn om deze in te schakelen, waardoor minder dan 10 procent van de gebruikers wordt bereikt.

server
Computer die is geconfigureerd voor het uitvoeren van software die wacht op en voldoet aan aanvragen van clientprocessen die worden uitgevoerd op andere computers.

Kritiek
Een beveiligingsprobleem dat als het hoogste potentieel voor schade wordt beoordeeld.

Belangrijk
Een beveiligingsprobleem dat als aanzienlijk potentieel voor schade wordt beoordeeld, maar minder dan Kritiek.

Gematigd
Een beveiligingsprobleem dat als gemiddelde kans op schade wordt beoordeeld, maar minder dan Belangrijk.

Laag
Een beveiligingsprobleem dat zou worden beoordeeld als een laag potentieel voor schade.

gerichte openbaarmaking van informatie
Mogelijkheid om opzettelijk gewenste informatie te selecteren (doel).

tijdelijke DoS-aanval
Een tijdelijke DoS is een situatie waarin aan de volgende criteria wordt voldaan:

  • Het doel kan geen normale bewerkingen uitvoeren vanwege een aanval.

  • De reactie op een aanval is ongeveer dezelfde grootte als de grootte van de aanval.

  • Het doel keert terug naar het normale functionaliteitsniveau kort nadat de aanval is voltooid. De exacte definitie van 'binnenkort' moet voor elk product worden geëvalueerd.

Een server reageert bijvoorbeeld niet terwijl een aanvaller voortdurend een stroom pakketten via een netwerk verzendt en de server een paar seconden na het stoppen van de pakketstroom weer normaal wordt.

tijdelijke DoS met amplificatie

Een tijdelijke DoS met amplificatie is een situatie waarin aan de volgende criteria wordt voldaan:

  • Het doel kan geen normale bewerkingen uitvoeren vanwege een aanval.

  • De reactie op een aanval is een grootte die groter is dan de grootte van de aanval.

  • Het doel keert terug naar het normale functionaliteitsniveau nadat de aanval is voltooid, maar het duurt enige tijd (misschien een paar minuten).

Als u bijvoorbeeld een schadelijk pakket van 10 byte kunt verzenden en een antwoord van 2048k op het netwerk kunt veroorzaken, voert u een DoS-aanval uit door onze aanvalsinspanning te versterken.

permanente DoS

Een permanente DoS is een doS die een beheerder nodig heeft om alle of onderdelen van het systeem te starten, opnieuw te starten of opnieuw te installeren. Elk beveiligingsprobleem dat automatisch opnieuw wordt opgestart, is ook een permanente DoS.

Matrix voor Denial of Service (Server)

Geverifieerd versus anonieme aanval Standaard/gemeenschappelijk versus scenario Tijdelijke DoS versus Permanent Beoordeling
Geverifieerd Standaard/algemeen Permanente Matig
Geverifieerd Standaard/algemeen Tijdelijke Denial-of-Service met versterking Matig
Geverifieerd Standaard/algemeen Tijdelijke DoS-aanval Laag
Geverifieerd Scenario Permanente Matig
Geverifieerd Scenario Tijdelijke Denial-of-Service met versterking Laag
Geverifieerd Scenario Tijdelijke DoS-aanval Laag
Anoniem Standaard/algemeen Permanente Belangrijk
Anoniem Standaard/algemeen Tijdelijke Denial-of-Service met versterking Belangrijk
Anoniem Standaard/algemeen Tijdelijke DoS-aanval Matig
Anoniem Scenario Permanente Belangrijk
Anoniem Scenario Tijdelijke Denial-of-Service met versterking Belangrijk
Anoniem Scenario Tijdelijke DoS-aanval Laag

Inhouds disclaimer

Deze documentatie is geen volledige verwijzing naar de SDL-procedures bij Microsoft. Aanvullende zekerheidswerkzaamheden kunnen naar eigen goeddunken worden uitgevoerd door productteams (maar niet noodzakelijkerwijs gedocumenteerd). Als gevolg hiervan moet dit voorbeeld niet worden beschouwd als het exacte proces dat Microsoft volgt om alle producten te beveiligen.

Deze documentatie wordt 'as-is' verstrekt. Informatie en weergaven die in dit document worden uitgedrukt, met inbegrip van URL's en andere internetwebsiteverwijzingen, kunnen zonder kennisgeving worden gewijzigd. U gebruikt deze op eigen risico.

Deze documentatie biedt u geen wettelijke rechten voor enig intellectueel eigendom in een Microsoft-product. U mag dit document kopiëren en gebruiken voor uw eigen referentiedoeleinden.

© Microsoft Corporation 2018. Alle rechten voorbehouden.

Licentie onderCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported