Pela primeira vez, a Microsoft divulgou publicamente os critérios utilizados pelo Microsoft Security Response Center (MSRC) para a classificação de vulnerabilidades reportadas no Windows. Essas informações, compostas de dois documentos, são de especial interesse para os pesquisadores de segurança, que a partir de agora terão uma visão mais clara do tratamento que poderá ter uma falha reportada à Microsoft e se será ou não considerada para a elaboração de um patch que resolva o erro.
O primeiro dos documentos pode ser acessado pelo site “Microsoft Security Servicing Criteria for Windows”. Na página, a empresa também divulga as perguntas que a equipe de segurança da Microsoft utiliza para determinar se é necessário preparar um patch o mais rápido possível (por meio do Patch Tuesday, que é realizado na segundas terça-feira de cada mês) ou se a resolução do bug será considerada para a próxima versão ou lançamento do Windows e não através de um patch.
A Microsoft estabelece critérios para delimitar os problemas de segurança da seguinte forma:
Security boundaries
É o que a Microsoft considera uma violação de suas políticas de acesso a dados. Por exemplo, reportar uma vulnerabilidade que permite a um usuário, sem permissões de administrador, obter acesso ao modo e dados do kernel, sempre será considerado uma violação dos limites de segurança, explica a ZDnet. Para isso, a empresa utiliza uma lista composta por nove security boundaries que podem ser vistos detalhadamente no documento e que inclui, entre outros, áreas como redes, kernel, etc.
Security features
Por security features, refere-se a erros reportados em aplicativos e outras funções do sistema operacional criado para fortalecer esses recursos de segurança, como falhas no BitLocker, no Windows Fedender, Secure Boot, entre outros.
Defense-in-depth security features
Esta terceira categoria refere-se aos recursos de segurança que, devido às suas próprias limitações, não são considerados como tendo o mesmo nível de robustez que os anteriores, mas fornecem recursos de segurança complementares. Nesse sentido, a desativação de alguns desses recursos de segurança que se enquadram nessa categoria não representa um risco direto porque, para isso, um invasor precisa encontrar uma vulnerabilidade em um limite de segurança para atingir efetivamente uma primeira fase de comprometimento. Portanto, as vulnerabilidades que afetam essas funcionalidades dificilmente são consideradas nos patches que são lançados a cada mês, mas serão levadas em conta para futuras versões dos produtos. No documento completo, você pode ver quais são os recursos de segurança considerados nesta categoria.
O segundo documento lançado pela Microsoft se chama Microsoft Vulnerability Severity Classification for Windows e descreve como a empresa atribui uma classificação de acordo com a gravidade de cada erro reportado. Nesse sentido, este segundo documento explica quais são os bugs considerados "críticos", "importantes", "moderados" e "de baixo risco".
O objetivo da Microsoft com a divulgação dos critérios utilizados para a classificação e priorização das vulnerabilidades relatadas visa proporcionar transparência e que os pesquisadores possam ter mais clareza do que se pode esperar da Microsoft ao detectar e reportar uma vulnerabilidade.
Esses documentos foram lançados em junho como um esboço e receberam um retorno da comunidade de pesquisadores e do setor em geral, o que permitiu mais ajustes antes de seu lançamento na semana passada.