Wird eine Sicherheitslücke entdeckt, geht man davon aus, dass der Hersteller der Software diese meist zügig schließt. Manchmal dauert es aber auch, bis ein Patch kommt. Microsoft hat jetzt erklärt, nach welchen Kriterien Sicherheitsupdates bereitgestellt werden.
Leitlinien zur Patch-Entwicklung
In einem noch im Entwurfsstadium befindlichen Papier Microsoft Security Servicing Commitments (PDF-Dokument) legt Microsoft seine Entscheidungskette für die Entwicklung von Sicherheitsupdates offen.
- Verletzt die Sicherheitslücke eine Sicherheitsgrenze oder ein Sicherheitsmerkmal, für dessen Abwehr von Angriffen sich Microsoft verpflichtet hat?
- Ist die Schwere der Sicherheitslücke so groß, dass sie durch die Veröffentlichung eines Sicherheitsupdates sofort behoben werden muss?
Werden beide Fragen mit Ja beantwortet, beginnt Microsoft mit der Entwicklung eines Sicherheitsupdates und rollt dieses zu nächsten Patchday (2. Dienstag im Monat) aus.
Definition von Sicherheitsgrenzen
Eine „Sicherheitsgrenze“ wird von Microsoft als „logische Trennung zwischen dem Code und den Daten von Sicherheitsdomänen mit unterschiedlichen Vertrauensstufen“ definiert. Das Umgehen dieser Schwachstellen ist offensichtlich ein Problem, da es bedeutet, dass Code ausgeführt wird, um Aufgaben auszuführen, die normalerweise nicht erlaubt sein sollten.
Eine Verletzung der „Kernel Boundary“ wäre z.B., wenn ein User Mode Prozess auf die Daten oder den Code des Kernels zugreifen und diese verändern kann. Ein weiteres Beispiel, das die „Virtual Machine Boundary“ verletzt, ist, wenn ein Prozess in einer virtuellen Gastmaschine die Daten oder den Code der Host-Maschine oder einer anderen virtuellen Gastmaschine ändern könnte.
Andere Sicherheitsgrenzen sind die Netzwerkgrenze, Prozessgrenze, AppContainer-Sandboxgrenze, Sitzungsgrenze, Webbrowsergrenze, Virtual Secure Mode Grenze. Microsoft hat sich verpflichtet, alle diese Grenzen vor Schwachstellen zu schützen, die sie möglicherweise umgehen könnten.
Unterschiedliche Prioritäten
Obwohl sich Microsoft für den Schutz aller Sicherheitsgrenzen einsetzt, werden nicht alle Sicherheitsfunktionen gleich behandelt. Zum Beispiel haben einige Sicherheitsfunktionen die Erwartung, dass sie wie vorgesehen funktionieren. Trifft dies nicht zu, verspricht Microsoft, diesen Fehler zu beheben. Dazu gehören „Windows Hello / Biometrics“, „Secure Boot“ und „Bitlocker“, denen vorgegeben ist, wie sie einen Computer und seine Daten sichern sollen.
Auf der anderen Seite sind „Defense-in-depth“-Features diejenigen, die einige Aspekte von Windows schützen sollen, aber nicht versprechen, dies zu tun. Denn sie erfordern, dass eine bestehende „Sicherheitsgrenze“ durchbrochen wird, um sie auszunutzen. So würde die Behebung der kritischeren Schwachstelle in der Grenze das Defense-in-Depth-Feature vor deren Ausnutzung schützen.
Zu diesen umfassenden Funktionen gehören Anwendungen wie Controlled Folder Access, Windows Defender, AppLocker und User Account Control (UAC). Schwachstellen in diesen Funktionen führen nicht zu einem Sicherheitsupdate, können aber in zukünftigen Updates von Windows behoben werden.
Abschließende Bemerkungen
Wer es genauer wissen will, muss sich durch das PDF-Dokument kämpfen. Für den Rest der Anwenderschaft gilt die Kölsche Weisheit ‘Et kütt wie et kütt’ (es kommt wie es kommt) und ‘et hot noch immer jod jon’ (es ist noch immer gut gegangen). Und am Patchday sehen wir, was an Update angeflogen kommt und installierbar ist. Denn Grau ist alle Theorie, was vor allem für die Fälle gilt, wo Microsoft zwar die Behebung einer Schwachstelle verkündet hat, das aber nicht geschafft oder neue Sicherheitslücken eingebaut hat. Diese Fälle habe ich ja mehrfach im Blog behandelt. (via, via, via)
Ergänzung: Im September 2018 hat Microsoft weitere Dokumente zum Thema veröffentlicht, siehe Microsofts Kriterien für Windows-Sicherheitsupdates (9.2018).