Nosso compromisso de proteger os clientes contra vulnerabilidades em nossos softwares, serviços e dispositivos inclui o fornecimento de atualizações de segurança e de orientações que tratam de vulnerabilidades quando elas são relatadas à Microsoft. Também queremos ser transparentes com pesquisadores de segurança e com nossos clientes em nossa abordagem. Este documento ajuda a descrever os critérios que o MSRC (Microsoft Security Response Center) usa para determinar se uma vulnerabilidade relatada que afeta versões do Windows atualizadas e compatíveis pode ser solucionada por meio de manutenção ou na próxima versão do Windows. Para vulnerabilidades no Windows, a manutenção assume a forma de uma atualização de segurança ou de diretrizes aplicáveis, mais comumente lançadas nas terças-feiras de atualização (a segunda terça-feira de cada mês).

Critérios dos serviços de segurança

Os critérios usados pela Microsoft ao avaliar a necessidade de fornecer uma atualização de segurança ou diretrizes relacionadas a uma vulnerabilidade relatada envolvem responder a duas perguntas principais:
    1. A vulnerabilidade viola a meta ou a finalidade de um limite ou de um recurso de segurança?
    2. A severidade da vulnerabilidade atinge o limiar para manutenção?
Se a resposta de ambas as perguntas for sim, a Microsoft terá a intenção de solucionar a vulnerabilidade por meio de uma atualização de segurança e/ou de diretrizes aplicáveis às ofertas afetadas e compatíveis, quando for comercialmente razoável. Se a resposta de alguma das perguntas for não, por padrão, a vulnerabilidade será considerada para a próxima versão do Windows, mas não será tratada por uma atualização de segurança ou diretriz, embora possa haver exceções.

Este documento aborda as vulnerabilidades relatadas com maior frequência, mas como a segurança é um aspecto que sempre está em evolução, pode haver vulnerabilidades que não são cobertas por esses critérios ou os critérios poderão ser adaptados devido a mudanças nas ameaças. A Microsoft aborda as vulnerabilidades com base no risco que elas representam para os clientes e pode, a qualquer momento, optar por solucioná-las ou não com base no risco avaliado.

Limites e recursos de segurança de que a Microsoft pretende fazer a manutenção

Os softwares, os serviços e os dispositivos da Microsoft dependem de vários limites e recursos de segurança, bem como da segurança do hardware subjacente do qual nosso software depende, para atingir nossas metas de segurança.
Limites de segurança
Um limite de segurança fornece uma separação lógica entre o código e os dados de domínios de segurança com diferentes níveis de confiança. Por exemplo, a separação entre o modo kernel e o modo de usuário é um limite de segurança clássico e direto. O software da Microsoft depende de vários limites de segurança para isolar dispositivos na rede, máquinas virtuais e aplicativos em um dispositivo. A tabela a seguir resume os limites de segurança que a Microsoft definiu para o Windows.

Limite de segurança

Meta de segurança

A intenção é fazer a manutenção?

Há recompensa?

Limite de rede

Um ponto de extremidade de rede não autorizado não pode acessar nem adulterar o código e os dados no dispositivo de um cliente. Sim

Sim

Limite de kernel

Um processo não administrativo no modo de usuário não pode acessar nem adulterar dados e código do kernel. O limite de administrador para kernel não é um limite de segurança. Sim

Sim

Limite de processo

Um processo não autorizado no modo de usuário não pode acessar nem adulterar o código e os dados de outro processo. Sim

Sim

Limite de área restrita do AppContainer

Um processo de área restrita baseado no AppContainer não pode acessar nem adulterar o código e os dados fora da área restrita com base nos recursos do contêiner Sim

Sim

Limite de usuário

Um usuário não pode acessar nem adulterar o código e os dados de outro usuário sem autorização. Sim

Sim

Limite de sessão

Uma sessão de logon do usuário não pode acessar nem adulterar outra sessão de logon do usuário sem autorização. Sim

Sim

Limite de navegador da Web

Um site não autorizado não pode violar a política de mesma origem, nem pode acessar nem adulterar o código nativo e os dados da área restrita do navegador da Web do Microsoft Edge. Sim

Sim

Limite de máquina virtual

Uma máquina virtual convidada não autorizada do Hyper-V não pode acessar nem adulterar o código e os dados de outra máquina virtual convidada, isso inclui contêineres isolados do Hyper-V.

Sim

Sim

Limite do modo de segurança virtual

Dados e código dentro de um trustlet de VSM ou enclave não podem ser acessados nem adulterados por código em execução fora do trustlet de VSM ou enclave. Sim

Sim

Sem limites*

Alguns componentes e configurações do Windows não se destinam explicitamente a fornecer um limite de segurança robusto. Esses componentes são resumidos na tabela a seguir.

*Observação: a lista a seguir não é exaustiva e tem a finalidade de abordar dois componentes que costumam ser confundidos como limites. Por padrão, componentes não são considerados limites, a menos que sejam explicitamente denominados como tal.

Componente

Explicação

Contêineres do Windows Server

Os Contêineres do Windows Server fornecem isolamento de recursos usando um kernel compartilhado, mas não devem ser usados em cenários de multilocação hostil. Os cenários que envolvem a multilocação hostil devem usar contêineres isolados do Hyper-V para isolar fortemente os locatários.

Administrador para kernel

Processos e usuários administrativos são considerados parte da TCB (Base de Computação Confiável) para o Windows e, portanto, não são fortes isolados do limite do kernel. Os administradores têm controle da segurança de um dispositivo e podem desabilitar recursos de segurança, desinstalar atualizações de segurança e executar outras ações que tornam o isolamento do kernel ineficaz.

Recursos de segurança

Os recursos de segurança baseiam-se nos limites de segurança para fornecer proteção robusta contra ameaças específicas. Em alguns casos, a meta de um recurso de segurança é fornecer proteção robusta contra uma ameaça e não se espera que haja limitações por design que impeçam que o recurso de segurança atinja essa meta. Para recursos de segurança nessa categoria, a Microsoft pretende solucionar as vulnerabilidades relatadas por meio da manutenção conforme resumido na tabela a seguir.

Categoria

Recursos de segurança

Meta de segurança

A intenção é fazer a manutenção?

Há recompensa?

Segurança do dispositivo

BitLocker Os dados criptografados no disco não podem ser obtidos quando o dispositivo está desativado. Sim

Sim

Segurança do dispositivo

Inicialização segura Somente código autorizado pode ser executado no pré-SO, incluindo carregadores do SO, conforme definido pela política de firmware da UEFI. Sim

Sim

Segurança da plataforma

WDSG (Windows Defender System Guard) Binários assinados incorretamente não podem ser executados nem carregados, de acordo com a política de controle de aplicativo do sistema. Bypasses que aproveitam aplicativos permitidos pela política não estão no escopo. Sim

Sim

Segurança de aplicativo

WDAC (Controle de Aplicativos do Windows Defender) Somente código executável, incluindo scripts executados por hosts de script do Windows habilitados, que estiver de acordo com a política do dispositivo poderá ser executado. Bypasses que aproveitam aplicativos permitidos pela política não estão no escopo. Bypasses que exigem direitos administrativos não estão no escopo. Sim

Sim

Controle de acesso e identidade

Windows Hello/biometria Um invasor não pode falsificar, fazer phishing ou violar a NGC (Credencial de Próxima Geração) para representar um usuário. Sim

Sim

Controle de acesso e identidade

Controle de Acesso a Recursos do Windows Uma identidade (usuário, grupo) não pode acessar nem adulterar um recurso (arquivo, pipe nomeado, etc.), a menos que seja autorizado explicitamente a fazer isso Sim

Sim

API de criptografia: CNG (Credencial de Próxima Geração)

Criptografia de plataforma Os algoritmos são implementados de acordo com a especificação (por exemplo, NIST) e não vazam dados confidenciais. Sim

Sim

Atestado de integridade

HGS (Serviço Guardião de Host) Avaliar a identidade e a integridade de um chamador que emite ou retém declarações de integridade necessárias para operações de criptografia downstream. Sim

Sim

Protocolos de autenticação

Protocolos de autenticação Os protocolos são implementados de acordo com a especificação e um invasor não pode adulterar nem revelar dados confidenciais, nem representar usuários que têm privilégios elevados. Sim

Sim

Recursos de segurança de defesa em profundidade

Em alguns casos, um recurso de segurança pode fornecer proteção contra uma ameaça sem fornecer uma defesa robusta. Normalmente, esses recursos de segurança são chamados de recursos de defesa em profundidade ou mitigações, pois fornecem segurança adicional, mas podem ter limitações de design que os impedem de mitigar completamente uma ameaça. O bypass de um recurso de segurança de defesa em profundidade por si só não representa um risco direto, pois um invasor também precisaria encontrar uma vulnerabilidade que afetasse um limite de segurança ou precisaria contar com técnicas adicionais, como engenharia social, para chegar à fase inicial de comprometimento de um dispositivo.
 
A tabela a seguir resume os recursos de segurança de defesa em profundidade definidos pela Microsoft que não têm um plano de manutenção. Qualquer vulnerabilidade ou bypass que afetar esses recursos de segurança não receberá manutenção por padrão, mas poderá ser solucionado em uma versão futura. Muitos desses recursos estão sendo aprimorados continuamente em cada lançamento de produto e também são cobertos por programas ativos de recompensas para pessoas que encontram bugs.
 
Em alguns casos, os recursos de segurança de defesa em profundidade poderão ter uma dependência que não atingirá o limiar de manutenção por padrão. Como resultado, esses recursos também não atingirão o limiar de manutenção por padrão. Um exemplo disso pode ser observado com máquinas virtuais blindadas, que dependem de um administrador não conseguir comprometer o kernel ou um VMWP (Processo de Trabalho de Máquina Virtual) que é protegido por PPL (Leve do Processo Protegido). Nesse caso, o administrador para o kernel e o PPL não recebem manutenção por padrão.

Categoria

Recurso de segurança

Meta de segurança

A intenção é fazer a manutenção?

Há recompensa?

Segurança do usuário

UAC (Controle de Conta de Usuário) Impedir alterações indesejadas em todo o sistema (arquivos, Registro, etc.) sem o consentimento do administrador Não Não

Segurança do usuário

AppLocker Impedir a execução de aplicativos não autorizados Não Não

Segurança do usuário

Acesso controlado a pastas Proteger o acesso e a modificação de pastas controladas por aplicativos que podem ser mal-intencionados Não Não

Segurança do usuário

MOTW (Marca da Web) Impedir que o download de conteúdo ativo da Web aumente os privilégios quando exibido localmente Não Não

Mitigações de exploração

DEP (Prevenção de Execução de Dados) Um invasor não pode executar código de uma memória não executável, como heaps e pilhas Não

Sim

Mitigações de exploração

ASLR (Randomização de Layout do Espaço de Endereço) O layout do espaço de endereço virtual do processo não é previsível para um invasor (em 64 bits) Não

Sim

Mitigações de exploração

KASLR (Randomização de Layout do Espaço de Endereço do Kernel) O layout do espaço de endereço virtual do kernel não é previsível para um invasor (em 64 bits) Não Não

Mitigações de exploração

ACG (Proteção de Código Arbitrário) Um processo habilitado para ACG não pode modificar páginas de código nem alocar novas páginas de código particular Não

Sim

Mitigações de exploração

CIG (Proteção de Integridade de Código) Um processo habilitado para CIG não pode carregar diretamente uma imagem executável assinada incorretamente (DLL) Não

Sim

Mitigações de exploração

CFG (Proteção de Fluxo de Controle) O código protegido por CFG só pode fazer chamadas indiretas para destinos de chamada indireta válidos Não Não

Mitigações de exploração

Restrição de Processo Filho Um processo filho não pode ser criado quando esta restrição está habilitada Não

Sim

Mitigações de exploração

SafeSEH/SEHOP A integridade da cadeia do manipulador de exceção não pode ser subvertida Não

Sim

Mitigações de exploração

Randomização de heap e proteção de metadados A integridade dos metadados de heap não pode ser subvertida e o layout das alocações de heap não é previsível para um invasor Não

Sim

Mitigações de exploração

WDEG (Windows Defender Exploit Guard) Permitir que os aplicativos habilitem recursos adicionais de mitigação de explorações de defesa em profundidade que tornam mais difícil explorar vulnerabilidades Não Não

Bloqueio de plataforma

PPL (Leve do Processo Protegido) Impedir que processos não PPL não administrativos acessem ou adulterem código e dados em um processo PPL por meio de funções de processo abertas Não Não

Bloqueio de plataforma

Máquinas Virtuais Blindadas Ajudar a proteger os segredos de uma VM e seus dados contra administradores de malha mal-intencionados ou malware em execução no host contra ataques de runtime e offline Não Não