Mit javít a jövőben a Microsoft?

Vitairatot tett közzé a Microsoft, amelyben részletezi, hogy a jövőben hogyan gondolkodik majd a biztonsági frissítések sürgősségéről és szükségességéről. A dokumentum egyértelműen megfogalmazza, hogy melyek azok a biztonsági korlátok (security boundary) és technológiák, amelyek a jövőben is havi rendszerességgel kapnak biztonsági frissítéseket, és melyek a mélységi védelem elemei, amelyeket általában csak a szoftver következő kiadásánál javít a cég.

A fontos és kevésbé fontos besorolás mellett attól is függ a javítás, hogy milyen veszélyességi besorolást kap. Ezen az oldalon nincs újdonság, a Microsoft a régen ismert négy fokozatú kritikus-fontos-mérsékelt-alacsony [veszélyességű] besorolást alkalmazza. A fentiek közül két esetben, a kritikus illetve a fontos besorolású sebezhetőségek számítanak sürgősnek, a mérsékelt és alacsony besorolásúak nem.

A dokumentum szerint a Microsoft a jövőben vállalja, hogy a havi rendszeres biztonsági frissítések (ez a patch kedd) során javítja a kritikus elemeket, amennyiben a sebezhetőség veszélyessége ezt indokolja. Ez szigorú vállalás, tehát a cég önmagára kötelezőnek is érzi e javítások kiadását. A másik oldalon viszont a kevésbé veszélyes, vagy kevésbé kritikus elemeket érintő sebezhetőségek csak jóval később kapnak foltozást, jellemzően a szoftver következő kiadásánál.

Korlátok

Lássuk akkor, melyek azok a korlátok, amelyeket elég fontosnak lát ahhoz a Microsoft, hogy a Windows operációs rendszerekben rendszeresen karban tartsa! Ide tartozik a hálózat (távolról nem futtatható kód és nem érhető el adat az eszközön), a kernel (nem-admin felhasználó nem szerezhet hozzáférést a kernel kódjához és adataihoz), a process (sima felhasználói jogosultsággal futó process nem éri el más process kódját és adatait).

A sor az AppContainerrel folytatódik, ez a sandbox szintén kiemelt védelmet élvez a Windows operációs rendszereken. Ez logikus, a Microsoft hosszú távon fogadott a technológiára, és ettől függ például a Windows 10 S (hamarosan S Mode) biztonsága is, illetve természetesen a Microsoft Store is ezt a megoldást használja az alkalmazások konténerezésére. A dokumentum szerint a sandbox csak kifelé számít korlátnak, tehát az AppContainerben futó alkalmazás nem nyúlhat ki a homokozóból és nem érhet el kódot és adatot a konténeren kívül.

Az szinte természetes, hogy kiemelt szintű védelmet élvez a böngésző (egészen pontosan egyetlen böngésző, az Edge), a webes tartalom sandboxban fut, ahonnan nem nyúlhat ki a megfelelő jogosultság megszerzése nélkül. Szintén nem meglepetés, hogy a virtuális gépek is kiemelt biztonsági sandboxnak számítanak, a vendég VM nem férhet hozzá egy másik VM-hez. Hasonló védelmet élvez a VSM (Virtual Secure Mode), amely egy viszonylag friss technológia, védett környezetet teremt biztonsági szempontból kritikus számításokhoz.

^{A lényeg: ezek garantáltan kapnak javítást, akár minden hónapban.}

Fontos korlát a bejelentkezési session-ök védelme, ezek egymástól hermetikusan elzártak, egy gépre bejelentkezett két felhasználó egymás adataihoz, kódjához nem férhet hozzá.

Védelmi funkciók

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Garantált javítást kapnak ezen felül a Windows egyes beépített biztonsági funkciói is. Nyilván itt szerepelnek az olyan fontos megoldások, mint a BitLocker háttértár-titkosítás, a Secure Boot, amely csak ismert, aláírt kódot hagy futni a rendszer betöltődése előtt, és például a Windows Defender System Guard (WDSG) és Application Control (WDAC), amelyek házirendben kötik ki mi futtatható egy gépen. Kiemelt támogatást élvez majd a beléptetés, a Windows Hello és a biometrikus azonosítás is.

Mélységi védelem

A Microsoft több technológiát is a "nice to have" mélységi védelemhez sorol. Ezek feladata zavarni a támadásokat és gyengíteni azok hatását, de nem számítanak elsődleges frontvonalnak. Az egyes extra védelmi rétegek áttörése nem is jelent direkt biztonsági kockázatot, hiszen a sikeres támadónak egy, a fentiek közé tartozó korlátot is át kell törnie. Ezért az ide sorolt mechanizmusok nem is kapnak többé rendszeres biztonsági frissítést, funkcionális javítást. Így az ide tartozó funkciók működésére a Microsoft nem tesz kőbe vésett ígéretet. Ettől függetlenül a cég dönthet úgy egyedi esetekben, hogy egy-egy sebezhetőséget soron kívül, havi patchben frissít, erre azonban nincs vállalás.

A listán több meglepetés van, mint az előzőn. Ide tartozik például az UAC (User Account Control), amely admin jogosultságot igényel bizonyos rendszerbeállítások módosításához, vagy az AppLocker, amely szabályozza, hogy mely futtatható állományok érhetőek el a felhasználó számára. Egy másik igazi meglepetés, hogy ide sorolta a Microsoft a Shielded Virtual Machines technológiát is, amely a hypervisor felől védi a VM-ek tartalmát, ez különösen adatközponti és felhős környezetben fontos, ezt az ernyőt azonban nem tartja fontos biztonsági korlátnak a cég, így erre nem feltétlenül szabad a jövőben garantáltként számítani.

Ide tartoznak az olyan klasszikus mélységi védelmet biztosító elemek is, mint az ASLR és a KASLR, a Windows Defender Exploit Guard (az EMET reinkarnációja), és például a DEP is. És itt jelenik meg a "Mark of the Web", a webről származó állományok jelölése, amely külön korlátozáshoz köti a letöltött fájlok futtatását.

Vitairat - egyelőre

A publikált dokumentum egyelőre csak tervezet, a Microsoft kimondottan azért tette közzé, hogy a szélesebb szakmai közösség, az IT-biztonsággal foglalkozók és elsősorban a kutatók tudjanak hozzászólni és tudják véleményezni. Az első visszajelzések Twitteren üdvözlik a Microsoft nyitottságát a kérdésben, hogy a cég egyértelműen megkülönbözteti a kritikus biztonsági korlátokat és a mélységi védelmet, azonban többen kifogásolták, hogy bizonyos fontos védelmi elemek, például az AppLocker vagy a Shielded VM-ek nem tartoznak az előbbi kategóriába.

Ettől eltekintve a legtöbb megszólalónak tetszett a dokumentum, amely végre teljesen egyértelművé teszi mindenki számára, hogy melyek a Windows belső struktúrájának kritikus határvonalai, és melyek tartoznak a mélységi védelemhez. A különbségtétel a biztonsági kutatók számára is fontos, így koncentrálhatják erőfeszítéseiket a kulcs technológiákra - nem véletlenül a Microsoft is inkább ezekhez csatol bug bountry programot.

Arról a Microsoft egyelőre nem beszél, hogy az új irányelv mikortól lépne életbe, egyelőre visszajelzéseket gyűjti a szoftverház.

A részletes tervezet itt érhető el, a Microsoft hivatalos bejelentése itt olvasható.