Como Reportar Falhas de Seguranca para a Microsoft

  • Article

Após o nosso post sobre os agradecimentos no boletim MS09-007 nós recebemos vários e-mails (e alguns comentários no blog) querendo saber como reportar vulnerabilidades de segurança para a Microsoft, e também como a Microsoft trata estes relatos. Aqui estão algumas informações sobre como funciona o processo, e caso você tenha mais dúvidas por favor fique a vontate para usar os comentários deste blog para perguntar.

Falhas de Segurança

Antes de mais nada, o que a Microsoft considera como vulnerabilidades de segurança? A nossa definição oficial está em https://technet.microsoft.com/en-us/library/cc751383.aspx (em inglês), e diz:

Uma vulnerabilidade de segurança é uma falha em um produto que torna impraticável impedir que um atacante obtenha privilégios no sistema do usuário, controle a sua operação, comprometa dados do sistema ou obtenha algum tipo de confiança, mesmo quando o produto é usado corretamente.

Esta definição inclui ataques de elevação de privilégios, execução remota de código, negação de serviço, vazamento de informações, alteração indevida de dados e falsificação de identidades, entre outros.

É importante mencionar o que não é considerado uma vulnerabilidade. Primeiro, ele tem que ser uma falha no produto – se não é uma falha (isto é, o funcionamento é o esperado) ou se não é no produto (por exemplo, faz parte da especificação de um protocolo) então não são considerados vulnerabilidades de segurança.

Por exemplo, o fato do FTP transmitir senhas em claro na rede não é uma vulnerabilidade de segurança neste contexto, já que esta é a especificação do protocolo e o funcionamento esperado do produto. No entanto, se o Internet Explorer transmitir senhas em claro em uma conexão SSL, então isto seria uma vulnerabilidade de segurança.

Também não é considerada uma vulnerabilidade de segurança algo que esteja previsto nas 10 leis imutáveis da segurança. Por exemplo, se um atacante tem acesso físico ao sistema ele vai poder obter privilégios neste sistema, e o produto nada pode fazer quanto a isso. Isto não seria uma vulnerabilidade de segurança neste contexto.

Em caso de dúvida envie o seu relato para a Microsoft, e nós podemos verificar se ele se enquadra ou não na definição de vulnerabilidade.

Reportando Uma Nova Falha

Para relatar uma falha de segurança em um dos produtos da Microsoft, envie um e-mail para secure@microsoft.com . Este é o endereço do Microsoft Security Response Center (MSRC), o nosso centro de resposta a incidentes, e é monitorado 24x7. Neste e-mail procure dar o máximo de informações sobre a vulnerabilidade, se possível incluindo:

  • Tipo de falha (buffer overflow, SQL injection, cross-site scripting, etc.)
  • Produto e versão que contém a falha
  • Service packs, atualizações de segurança, e outras atualizações instaladas no produto que você está usando
  • Qualquer configuração especial necessária para reproduzir o problema
  • Instruções passo-a-passo de como reproduzir o problema em uma nova instalação
  • Prova de conceito ou exploit
  • Impacto do problema, incluindo como um atacante poderia se beneficiar desta falha

Estas informação são desejáveis mas não necessárias – você não precisa ter tudo isto em mãos para reportar uma falha. Isto vai nos ajudar a reproduzir o problema e tornar o processo de resposta mais rápido. Nosso SLA é responder para você em menos de 24 horas.

Se você preferir encriptar a comunicação do problema, use a chave PGP do Microsoft Security Response Center.

Agradecimentos

A Microsoft tem uma política instituída desde 2000 de agradecer às pessoas e organizações que colaboraram conosco para proteger os nossos clientes,  reportando vulnerabilidades de segurança em nossos produtos e dando a oportunidade de que uma correção seja divulgada antes que criminosos possam usá-las em ataques. Estas pessoas e organizações tem um agradecimento especial em nossos boletins de segurança.

Ao receber um relato de vulnerabilidade, a Microsoft trabalha com o máximo de velocidade possível para reproduzir o problema, desenvolver uma correção para todos os produtos afetados, localizar esta correção para todos os idiomas suportados, testar estas correções e divulgar no próximo ciclo mensal de correções.

Alguns pesquisadores ao reportar uma vulnerabilidade exigem que uma correção esteja disponível em x dias (15, 30, etc.) – a Microsoft não tem como se comprometer com quaisquer prazos. A nossa garantia é a de que vamos trabalhar o mais rapidamemte possível.

Outros pesquisadores preferem divulgar as vulnerabilidades imediatamente para o público, sem comunicação prévia com o fornecedor, sob a premissa que isto vai fazer com que a vulnerabilidade seja corrigida mais rapidamente. Na prática isto simplemente coloca usuários em risco, já que o desenvolvimento de uma ferramenta de ataque é invariavelmente mais rápido do que o desenvolvimento e divulgação de uma correção. Apesar de discordar, a Microsoft respeita a posição destes pesquisadores e procura trabalhar com eles para obter informações e desenvolver correções para estes problemas.

A Microsoft não paga nem oferece recompensas financeiras para obter informações sobre vulnerabilidades.

Mais Informações

O nosso site TechNet Brasil possui um estudo de caso sobre o worm Sasser mostrando como o MSRC atuou para responder a este incidente. O MSRC mantém um blog oficial (em inglês).