Hoe Microsoft beslist welke kwetsbaarheden worden gepatcht

Microsoft heeft een draft gepubliceerd van zijn ‘Security Servicing Commitments’. Daarin legt het bedrijf uit hoe wordt bepaald welke kwetsbaarheden onmiddellijk worden gepatcht en welke pas worden aangepakt in een volgende versie-update.

Het document is bedoeld voor security researchers, om meer duidelijkheid te geven over hoe Microsoft omgaat met gerapporteerde kwetsbaarheden.

“We begrijpen dat onderzoekers meer duidelijkheid wilden over de beveiligingsfuncties, -grenzen en -mitigaties die in Windows bestaan en de serviceverplichtingen die daarbij horen”, klinkt het in een aankondiging. “We zijn vooral geïnteresseerd in feedback over ons servicebeleid en of onze criteria logisch zijn voor u, de onderzoeker.”

De criteria die Microsoft gebruikt bij het bepalen of een onmiddellijke beveiligingsupdate al dan niet nodig is, stoelen op twee vragen:

 

  1. Maakt het beveiligingslek inbreuk op de belofte van veiligheid die wordt gedaan door een beveiligingsgrens of – functie die Microsoft heeft geïmplementeerd?
  2. Voldoet de ernst van de kwetsbaarheid aan de vereiste voor onderhoud?

 

Wanneer het antwoord op beide vragen ‘ja’ is, zal het lek worden gedicht met een veiligheidsupdate. Als het antwoord op één van de vragen ‘nee’ is wordt een oplossing voor de kwetsbaarheid standaard pas in een volgende versie-update verholpen, al zijn uitzonderingen mogelijk.

De vereiste voor onderhoud wordt bepaald door Microsofts rangschikking van kwetsbaarheden volgens ernst: kritiek, belangrijk, gemiddeld laag en niet ernstig.

“Als een kwetsbaarheid als kritiek of belangrijk wordt beoordeeld en ze is van toepassing op een beveiligingsgrens of -functie met een servicing commitment, dan zal de kwetsbaarheid worden aangepakt via een beveiligingsupdate”, schrijft Microsoft in het document.

Beveiligingsgrenzen en -functies

Eén zo’n beveiligingsgrens is bijvoorbeeld de logische scheiding tussen de kernel en gebruikersmodus. Tot de relevante beveiligingsfuncties behoren onder andere Bitlocker, Secure Boot, Windows Defender System Guard, Windows Defender Application Control en Windows Hello. Alle beveiligingsmaatregelen die onder de servicing commitment vallen, maken tevens deel uit van Microsofts bug bounty-programma.

Een aantal Windows 10-functies, zoals Control Flow Guard, Code Integrity Guard en Arbitrary Code Guard, vallen niet onder Microsofts servicing commitments. Security-researchers die erin slagen om deze mechanismen te omzeilen kunnen wel rekenen op een beloning tot 100.000 dollar, maar Microsoft biedt geen garantie dat het lek gedicht wordt op de volgende Patch Tuesday.

Nog een opvallende afwezige in de lijst van producten met servicing commitments is Microsofts eigen antivirusoplossing Windows Defender.