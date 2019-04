Ik schrijf al jaren dat de twee grootste beveiligingsrisico's voor de meeste bedrijven bestaan uit twee dingen: social engineering en ongepatchte software. Een tijdje terug voegde ik daar wachtwoorden aan toe als derde probleem, gezien een aantal moderne trends die het risico vergroten als wachtwoorden worden gekaapt. Nummer vier is het niet goed machtigen van toegangscontrole. Daar gaat dit artikel over.

Bij de honderden, zo niet duizenden, beveiligingsreviews die ik de afgelopen decennia hebt uitgevoerd, vond ik altijd incorrect ingestelde rechten (als dat onderdeel was van de scope van het onderzoek) op pc's, apparaten, netwerken of cloudinstances. Vandaag de dag leveren OS-makers een goede set aan staandaardrechten. Het zijn de admins en eindgebruikers die hun systemen blootstellen door fouten waardoor hun privéinformatie op de tocht staat.

Ik heb geen harde data om te bewijzen dat dit inderdaad probleem nummer vier is in de beveiligingswereld, maar ik weet wel dat er erg veel documenten en mappen bestaan waar je onbevoegde toegang toe hebt. Volgens Varonis heeft 18,9 procent van bedrijven met meer dan een miljoen mappen 100.000 mappen die open zijn voor elke werknemer, 19,3 procent heeft meer dan 1000 mappen met gevoelige informatie die openstaan en 19,6 procent heeft meer dan 1000 mappen met inconsequente rechtentoewijzingen.

De twee gevaarlijkste types incorrecte rechtentoewijzingen

Afhankelijk van besturingssysteem en apparaat kunnen er tientallen individuele machtigingen zijn, met inheritance-issues en groepstoewijzingen die samen tot fouten kunnen leiden. Het is makkelijk voor een gebruiker om rechten te krijgen tot iets waar hij of zij niets te zoeken heeft. Dat is al een probleem, maar ik heb het nog niet eens over de kleine, individuele fouten.

De grootste rechtenfouten stammen van twee belangrijke machtiging, namelijk 'Schrijven/Aanpassen: Iedereen' en 'Lezen: Iedereen' op mappen en bestanden die dat niet zouden moeten hebben. Dat kan ontstaan bij de specifieke set aan rechten of een grotere set met ruimere machtigingen als 'Volledig beheer' voor alle gebruikers (in Windows) of World- mask+777 (in Linux). Het gebeurt ook vaak met incorrect ingeregeld rechten voor databases. Wereldwijd zijn er waarschijnlijk miljoenen veel te breed toegepaste rechten. De meeste zijn veroorzaakt door configuratiefouten en het enige wat aanvallers hoeven te doen, is ernaar te zoeken.

Cloudconfiguratiefouten

Er zijn enorm veel voorbeelden van datalekken door cloudconfiguratiefouten, vooral met betrekking tot klanten van Amazons AWS, Hier zijn er een paar:

Klanten van Azure, Google en andere clouddiensten maken dezelfde configuratiefouten, maar het lijkt erop dat de meeste aandacht uitgaat naar AWS omdat het de grootste cloudprovider met de meeste klanten is.

Ontdek je lokale zeroday

Ik heb gedurende mijn loopbaan tientallen lokale zerodays kunnen benutten. Dat is erg makkelijk. Zoek een beetje en jij kunt er ook eentje vinden. Als ik een onderzoek doe op een computer, kijk ik altijd naar lokaal geïnstalleerde software die met hoge rechten wordt uitgevoerd (bijvoorbeeld admin, system of root) dat reguliere eindgebruikers de mogelijkheid geeft om executables aan te passen.

Zulke software ontdek ik doorlopend. Dat is in potentie een ingang voor een rechtenescalerende aanval. Het enige dat een eindgebruiker hoeft te doen, is de kwetsbare executable te vervangen voor een malafide programma of hun eigen software met dezelfde naam of, als hij of zij gevorderd genoeg is, de legitieme executable aanpassen om iets malafides toe te voegen. Als ze de computer herstarten of de service/daemon stoppen en starten, wordt de zeroday exploit benut.

Het is zeldzaam dat ik zulke executables niet aantref op een van de computers die ik onderzoek, maar soms duurt het een tiental werkstations of zo voordat ik er eentje vind. Als ik ze vind, waarschuw ik de klant en daarna de leverancier. Dit zijn meestal breed toegepaste fouten die elke klant van hetzelfde geïnstalleerde programma (en versie) treffen. In de meeste gevallen kwam er een fix in de volgende versie. In een paar gevallen pushte de leverancier een update, waarna het bedrijf claimde dat het probleem - door mij gedocumenteerd en voorzien van screenshots - nooit had bestaan. Dat is prima, het werd tenminste opgelost.

Veel te brede rechten voor netwerkmappen

Ook kijk ik vaak naar de rechten van netwerkmappen, vooral de inlogmappen waar iedere gebruiker bij kan. Deze bevatten vaak gedeelde executables of scripts die worden uitgevoerd voor elke gebruiker die en apparaat dat inlogt. Hier tref ik ook vaak van veel te brede rechten voorziene executables of scripts aan die elke gebruiker kan aanpassen en impact heeft op iedereen die inlogt. Deze fout merkte ik bij enkele van 's werelds grootste bedrijven. Sterker nog, hoe groter het bedrijf, hoe waarschijnlijker het is dat ik dit issue vind.

Leesacties te vaak toegestaan

Ik zoek altijd naar mappen die alle gebruikers kunnen lezen. Dat is een machtiging die je vaak vind, naast Schrijven: Iedereen, op mappen en bestanden die elke gebruiker aan zou moeten kunnen. Denk aan \Windows\Temp, \Temp, /etc en /bin. Ik kijk ook naar de gedeelde mappen die niet standaard zijn, iets als /P&O of \Salarissen. Je hoeft vaak niet lang te zoeken op de gemiddelde bestandsserver om mappen te vinden met machtigingen die te veel toestaan.

Een specifieke subset die ik vaak vind gaat om reservekopieën. Admins maken vaak een back-up van grote datasets aan 'reserve' drives en netwerkbronnen als ze een issue troubleshooten, of zelfs als regulier onderdeel van hun back-upbeleid. Vrijwel altijd hebben deze back-upmappen te veel rechten. Let daarom specifiek op back-ups als je deze aantreft.

Ga een map omhoog

Voor een boek dat ik aan het schrijven ben, geef een grote leverancier me toegang tot opgevraagde openbare gegevens in een submap van een gedeelde bron. De leverancier vertelde dat ik alles op de link kon openen. Het ging om een bekende site om foto's te delen. De view die ik kreeg, bevatte ook een pictogram om een map naar boven te navigeren. Toen ik daarop klikte, zag ik honderden mappen, waarvan sommige ongetwijfeld niet-openbare informatie bevatten. Toen ik dat zag, nam ik contact op met het bedrijf en een medewerker verzekerde me ervan dat het issue opgelost zou worden.

Hoe je rechtenissues oplost

Het vinden van onterecht toegewezen rechten zit in diverse beveiligingstools om dit werk makkelijker te maken. Je definieert welke rechten je zoekt, geeft een bereik van computers op, geeft het de juiste credentials om de taak uit te voeren en de tool geeft dan een lijst terug van welke systemen aan de criteria voldoen. Als je zo'n tool niet hebt, Google dan simpelweg "tools check file permissions" om iets wat geschikt is te vinden, inclusief gratis (beperkte) versies van bekende commerciële software.

Voer periodieke controles uit op alle computers en apparaten die gevoelige data opslaan. Dat betekent dat je een heldere inventarisatie nodig hebt om te weten waar die gegevens geparkeerd staan. Zorg ervoor dat alle stakeholders begrijpen dat gevoelige data vereist dat er regelmatig wordt gekeken naar de rechten voor bestanden, mappen en databases. Maak ze daar verantwoordelijk voor en voer geregeld een controle uit om te zien of ze dit onder controle houden.

Natuurlijk is het vinden van issues nadat ze zich voordoen pijnlijker dan het oplossen voor er überhaupt een probleem is. Zodra er een nieuwe server, applicatie of repository met gevoelige data de lucht in gaat, moet het nalopen van rechten onderdeel zijn van de checklist voor livegang. Als er voor het eerst een nieuw programma wordt geïnstalleerd, doe dan een controle van de rechten direct na installatie. Weet dat deploy and decay een grote reden is voor te breed ingestelde rechten. Het is makkelijk om slordig te worden.