Microsoft explica si una vulnerabilidad se convierte en una actualización de seguridad de Windows

Microsoft explica si una vulnerabilidad se convierte en una actualización de seguridad de Windows 1

Microsoft ha publicado los criterios utilizados para determinar si una vulnerabilidad notificada y confirmada se resuelve mediante una actualización de seguridad o en la siguiente versión de Windows. Estos criterios se publicaron con el fin de proporcionar información sobre el progreso en la toma de decisiones y recibir información de los investigadores de seguridad.

Según Microsoft, cuando se informa de una vulnerabilidad, se evalúa cómo debe ser manejada haciendo dos preguntas.

  1. ¿Viola la vulnerabilidad un límite de seguridad o una característica de seguridad que Microsoft se ha comprometido a defender contra los ataques?
  2. ¿La gravedad de la vulnerabilidad es tal que requiere atención inmediata a través de la publicación de una actualización de seguridad?

Si la respuesta a ambas preguntas es «Sí», se publicará una actualización de seguridad. Por otro lado, si la respuesta a cualquiera de las dos preguntas es «No», entonces la vulnerabilidad es usualmente, pero no siempre, empujada hacia la solución en una nueva versión del software.

En cuanto a los límites de seguridad, Microsoft se compromete a protegerlos, pero, curiosamente, no todas las características de seguridad de Windows tienen la misma promesa.

Defender el límite

Microsoft define una «frontera de seguridad» como la «separación lógica entre el código y los datos de los dominios de seguridad con diferentes niveles de confianza». Pasar por alto estas vulnerabilidades es obviamente un problema, ya que significa que el código se está ejecutando para realizar tareas que normalmente no deberían estar permitidas.

Por ejemplo, una violación del «Kernel Boundary» sería si el proceso en modo austero es capaz de acceder y modificar los datos o el código del Kernel. Otro ejemplo que viola los límites de la «Virtual Machine Boundary» es si un proceso en una máquina virtual Guest podría modificar los datos o el código de la máquina host u otra máquina virtual huésped.

Otros límites de seguridad incluyen el límite de la red, el límite del proceso, el límite de la caja de arena de AppContainer, el límite de la sesión, el límite del explorador web, el límite del Modo Seguro Virtual, etc. Microsoft se ha comprometido a proteger todos estos límites de las vulnerabilidades que potencialmente podrían eludirlos.

No todas las funciones de seguridad son iguales

Aunque Microsoft se compromete a proteger todos los límites de seguridad, no todas las características de seguridad reciben el mismo trato. Microsoft explica cómo se comprometen a proteger algunas características de seguridad, pero hay otras características llamadas «Defense-in-depth» que no tienen el mismo compromiso.

Por ejemplo, algunas características de seguridad tienen la expectativa de que funcionen según lo previsto, y si no lo hacen, Microsoft promete resolverlas. Estos incluyen «Windows Hello / Biometrics», «Secure Boot», y «Bitlocker», todos los cuales tienen una definición estricta de cómo se pretende proteger un ordenador y sus datos.

Por otro lado, las características de «Defensa en profundidad» son aquellas que están pensadas para proteger algún aspecto de Windows, pero que no prometen hacerlo. Esto se debe a que requieren que se rompa una «frontera de seguridad» existente para poder explotarlos. De este modo, la reparación de la vulnerabilidad más crítica en el límite protegería la característica de defensa en profundidad de ser explotada.

Estas funciones de defensa en profundidad incluyen aplicaciones como Controlled Folder Access, Windows Defender, AppLocker y User Account Control (UAC). Las vulnerabilidades en estas características no llevarán a una actualización de seguridad, pero pueden ser resueltas en futuras actualizaciones de Windows.

Atándolo todo

La última parte del proceso de decisión es la gravedad de la vulnerabilidad. Si la vulnerabilidad es Crítica o Severa y afecta a un límite de seguridad o característica de seguridad con un compromiso prometido, entonces se publicará una actualización de seguridad.

Por otro lado, si no cumple con estos dos criterios, es posible que la vulnerabilidad no se solucione hasta que se publique una nueva actualización de Windows.

Contenido relacionado

Deja un comentario