Critérios da manutenção de segurança da Microsoft no Windows
Nosso compromisso de proteger os clientes contra vulnerabilidades em nossos softwares, serviços e dispositivos inclui o fornecimento de atualizações de segurança e de orientações que tratam de vulnerabilidades quando elas são relatadas à Microsoft. Também queremos ser transparentes com pesquisadores de segurança e com nossos clientes em nossa abordagem. Este documento ajuda a descrever os critérios que o MSRC (Microsoft Security Response Center) usa para determinar se uma vulnerabilidade relatada que afeta versões do Windows atualizadas e compatíveis pode ser solucionada por meio de manutenção ou na próxima versão do Windows. Para vulnerabilidades no Windows, a manutenção assume a forma de uma atualização de segurança ou de diretrizes aplicáveis, mais comumente lançadas nas terças-feiras de atualização (a segunda terça-feira de cada mês).
Critérios dos serviços de segurança
Os critérios usados pela Microsoft ao avaliar a necessidade de fornecer uma atualização de segurança ou diretrizes relacionadas a uma vulnerabilidade relatada envolvem responder a duas perguntas principais:
- A vulnerabilidade viola a meta ou a finalidade de um limite ou de um recurso de segurança?
- A severidade da vulnerabilidade atinge o limiar para manutenção?
Se a resposta de ambas as perguntas for sim, a Microsoft terá a intenção de solucionar a vulnerabilidade por meio de uma atualização de segurança e/ou de diretrizes aplicáveis às ofertas afetadas e compatíveis, quando for comercialmente razoável. Se a resposta de alguma das perguntas for não, por padrão, a vulnerabilidade será considerada para a próxima versão do Windows, mas não será tratada por uma atualização de segurança ou diretriz, embora possa haver exceções.
Este documento aborda as vulnerabilidades relatadas com maior frequência, mas como a segurança é um aspecto que sempre está em evolução, pode haver vulnerabilidades que não são cobertas por esses critérios ou os critérios poderão ser adaptados devido a mudanças nas ameaças. A Microsoft aborda as vulnerabilidades com base no risco que elas representam para os clientes e pode, a qualquer momento, optar por solucioná-las ou não com base no risco avaliado.
Limites e recursos de segurança de que a Microsoft pretende fazer a manutenção
Os softwares, os serviços e os dispositivos da Microsoft dependem de vários limites e recursos de segurança, bem como da segurança do hardware subjacente do qual nosso software depende, para atingir nossas metas de segurança.
Limites de segurança
Um limite de segurança fornece uma separação lógica entre o código e os dados de domínios de segurança com diferentes níveis de confiança. Por exemplo, a separação entre o modo kernel e o modo de usuário é um limite de segurança clássico e direto. O software da Microsoft depende de vários limites de segurança para isolar dispositivos na rede, máquinas virtuais e aplicativos em um dispositivo. A tabela a seguir resume os limites de segurança que a Microsoft definiu para o Windows.
Limite de segurança |
Meta de segurança |
A intenção é fazer a manutenção? |
Há recompensa? |
|---|---|---|---|
Limite de rede |
Um ponto de extremidade de rede não autorizado não pode acessar nem adulterar o código e os dados no dispositivo de um cliente. | Sim | |
Limite de kernel |
Um processo não administrativo no modo de usuário não pode acessar nem adulterar dados e código do kernel. O limite de administrador para kernel não é um limite de segurança. | Sim | |
Limite de processo |
Um processo não autorizado no modo de usuário não pode acessar nem adulterar o código e os dados de outro processo. | Sim | |
Limite de área restrita do AppContainer |
Um processo de área restrita baseado no AppContainer não pode acessar nem adulterar o código e os dados fora da área restrita com base nos recursos do contêiner | Sim | |
Limite de usuário |
Um usuário não pode acessar nem adulterar o código e os dados de outro usuário sem autorização. | Sim | |
Limite de sessão |
Uma sessão de logon do usuário não pode acessar nem adulterar outra sessão de logon do usuário sem autorização. | Sim | |
Limite de navegador da Web |
Um site não autorizado não pode violar a política de mesma origem, nem pode acessar nem adulterar o código nativo e os dados da área restrita do navegador da Web do Microsoft Edge. | Sim | |
Limite de máquina virtual |
Uma máquina virtual convidada não autorizada do Hyper-V não pode acessar nem adulterar o código e os dados de outra máquina virtual convidada, isso inclui contêineres isolados do Hyper-V. |
Sim | |
Limite do modo de segurança virtual |
Dados e código dentro de um trustlet de VSM ou enclave não podem ser acessados nem adulterados por código em execução fora do trustlet de VSM ou enclave. | Sim |
Sem limites*
Alguns componentes e configurações do Windows não se destinam explicitamente a fornecer um limite de segurança robusto. Esses componentes são resumidos na tabela a seguir.
*Observação: a lista a seguir não é exaustiva e tem a finalidade de abordar dois componentes que costumam ser confundidos como limites. Por padrão, componentes não são considerados limites, a menos que sejam explicitamente denominados como tal.
Componente |
Explicação |
|---|---|
Contêineres do Windows Server |
Os Contêineres do Windows Server fornecem isolamento de recursos usando um kernel compartilhado, mas não devem ser usados em cenários de multilocação hostil. Os cenários que envolvem a multilocação hostil devem usar contêineres isolados do Hyper-V para isolar fortemente os locatários. |
Administrador para kernel |
Processos e usuários administrativos são considerados parte da TCB (Base de Computação Confiável) para o Windows e, portanto, não são fortes isolados do limite do kernel. Os administradores têm controle da segurança de um dispositivo e podem desabilitar recursos de segurança, desinstalar atualizações de segurança e executar outras ações que tornam o isolamento do kernel ineficaz. |
Recursos de segurança
Os recursos de segurança baseiam-se nos limites de segurança para fornecer proteção robusta contra ameaças específicas. Em alguns casos, a meta de um recurso de segurança é fornecer proteção robusta contra uma ameaça e não se espera que haja limitações por design que impeçam que o recurso de segurança atinja essa meta. Para recursos de segurança nessa categoria, a Microsoft pretende solucionar as vulnerabilidades relatadas por meio da manutenção conforme resumido na tabela a seguir.
Categoria |
Recursos de segurança |
Meta de segurança |
A intenção é fazer a manutenção? |
Há recompensa? |
|---|---|---|---|---|
Segurança do dispositivo |
BitLocker | Os dados criptografados no disco não podem ser obtidos quando o dispositivo está desativado. | Sim | |
Segurança do dispositivo |
Inicialização segura | Somente código autorizado pode ser executado no pré-SO, incluindo carregadores do SO, conforme definido pela política de firmware da UEFI. | Sim | |
Segurança da plataforma |
WDSG (Windows Defender System Guard) | Binários assinados incorretamente não podem ser executados nem carregados, de acordo com a política de controle de aplicativo do sistema. Bypasses que aproveitam aplicativos permitidos pela política não estão no escopo. | Sim | |
Segurança de aplicativo |
WDAC (Controle de Aplicativos do Windows Defender) | Somente código executável, incluindo scripts executados por hosts de script do Windows habilitados, que estiver de acordo com a política do dispositivo poderá ser executado. Bypasses que aproveitam aplicativos permitidos pela política não estão no escopo. Bypasses que exigem direitos administrativos não estão no escopo. | Sim | |
Controle de acesso e identidade |
Windows Hello/biometria | Um invasor não pode falsificar, fazer phishing ou violar a NGC (Credencial de Próxima Geração) para representar um usuário. | Sim | |
Controle de acesso e identidade |
Controle de Acesso a Recursos do Windows | Uma identidade (usuário, grupo) não pode acessar nem adulterar um recurso (arquivo, pipe nomeado, etc.), a menos que seja autorizado explicitamente a fazer isso | Sim | |
API de criptografia: CNG (Credencial de Próxima Geração) |
Criptografia de plataforma | Os algoritmos são implementados de acordo com a especificação (por exemplo, NIST) e não vazam dados confidenciais. | Sim | |
Atestado de integridade |
HGS (Serviço Guardião de Host) | Avaliar a identidade e a integridade de um chamador que emite ou retém declarações de integridade necessárias para operações de criptografia downstream. | Sim | |
Protocolos de autenticação |
Protocolos de autenticação | Os protocolos são implementados de acordo com a especificação e um invasor não pode adulterar nem revelar dados confidenciais, nem representar usuários que têm privilégios elevados. | Sim |
Recursos de segurança de defesa em profundidade
Em alguns casos, um recurso de segurança pode fornecer proteção contra uma ameaça sem fornecer uma defesa robusta. Normalmente, esses recursos de segurança são chamados de recursos de defesa em profundidade ou mitigações, pois fornecem segurança adicional, mas podem ter limitações de design que os impedem de mitigar completamente uma ameaça. O bypass de um recurso de segurança de defesa em profundidade por si só não representa um risco direto, pois um invasor também precisaria encontrar uma vulnerabilidade que afetasse um limite de segurança ou precisaria contar com técnicas adicionais, como engenharia social, para chegar à fase inicial de comprometimento de um dispositivo.
A tabela a seguir resume os recursos de segurança de defesa em profundidade definidos pela Microsoft que não têm um plano de manutenção. Qualquer vulnerabilidade ou bypass que afetar esses recursos de segurança não receberá manutenção por padrão, mas poderá ser solucionado em uma versão futura. Muitos desses recursos estão sendo aprimorados continuamente em cada lançamento de produto e também são cobertos por programas ativos de recompensas para pessoas que encontram bugs.
Em alguns casos, os recursos de segurança de defesa em profundidade poderão ter uma dependência que não atingirá o limiar de manutenção por padrão. Como resultado, esses recursos também não atingirão o limiar de manutenção por padrão. Um exemplo disso pode ser observado com máquinas virtuais blindadas, que dependem de um administrador não conseguir comprometer o kernel ou um VMWP (Processo de Trabalho de Máquina Virtual) que é protegido por PPL (Leve do Processo Protegido). Nesse caso, o administrador para o kernel e o PPL não recebem manutenção por padrão.
Categoria |
Recurso de segurança |
Meta de segurança |
A intenção é fazer a manutenção? |
Há recompensa? |
|---|---|---|---|---|
Segurança do usuário |
UAC (Controle de Conta de Usuário) | Impedir alterações indesejadas em todo o sistema (arquivos, Registro, etc.) sem o consentimento do administrador | Não | Não |
Segurança do usuário |
AppLocker | Impedir a execução de aplicativos não autorizados | Não | Não |
Segurança do usuário |
Acesso controlado a pastas | Proteger o acesso e a modificação de pastas controladas por aplicativos que podem ser mal-intencionados | Não | Não |
Segurança do usuário |
MOTW (Marca da Web) | Impedir que o download de conteúdo ativo da Web aumente os privilégios quando exibido localmente | Não | Não |
Mitigações de exploração |
DEP (Prevenção de Execução de Dados) | Um invasor não pode executar código de uma memória não executável, como heaps e pilhas | Não | |
Mitigações de exploração |
ASLR (Randomização de Layout do Espaço de Endereço) | O layout do espaço de endereço virtual do processo não é previsível para um invasor (em 64 bits) | Não | |
Mitigações de exploração |
KASLR (Randomização de Layout do Espaço de Endereço do Kernel) | O layout do espaço de endereço virtual do kernel não é previsível para um invasor (em 64 bits) | Não | Não |
Mitigações de exploração |
ACG (Proteção de Código Arbitrário) | Um processo habilitado para ACG não pode modificar páginas de código nem alocar novas páginas de código particular | Não | |
Mitigações de exploração |
CIG (Proteção de Integridade de Código) | Um processo habilitado para CIG não pode carregar diretamente uma imagem executável assinada incorretamente (DLL) | Não | |
Mitigações de exploração |
CFG (Proteção de Fluxo de Controle) | O código protegido por CFG só pode fazer chamadas indiretas para destinos de chamada indireta válidos | Não | Não |
Mitigações de exploração |
Restrição de Processo Filho | Um processo filho não pode ser criado quando esta restrição está habilitada | Não | |
Mitigações de exploração |
SafeSEH/SEHOP | A integridade da cadeia do manipulador de exceção não pode ser subvertida | Não | |
Mitigações de exploração |
Randomização de heap e proteção de metadados | A integridade dos metadados de heap não pode ser subvertida e o layout das alocações de heap não é previsível para um invasor | Não | |
Mitigações de exploração |
WDEG (Windows Defender Exploit Guard) | Permitir que os aplicativos habilitem recursos adicionais de mitigação de explorações de defesa em profundidade que tornam mais difícil explorar vulnerabilidades | Não | Não |
Bloqueio de plataforma |
PPL (Leve do Processo Protegido) | Impedir que processos não PPL não administrativos acessem ou adulterem código e dados em um processo PPL por meio de funções de processo abertas | Não | Não |
|
Bloqueio de plataforma |
Máquinas Virtuais Blindadas | Ajudar a proteger os segredos de uma VM e seus dados contra administradores de malha mal-intencionados ou malware em execução no host contra ataques de runtime e offline | Não | Não |