Bedrijven geven veel geld uit aan security. Websites worden beveiligd, Firewalls worden gekocht en ingericht en er zijn complete policy’s waaraan wachtwoorden moeten voldoen. Maar vaak wordt er vergeten om te kijken naar de standaard inrichtingen van hun Cliënt server omgeving.
Gebruikers krijgen een pc met een wachtwoord. Dat wachtwoord moet voldoen aan diverse eisen. Complexiteit, lengte, duur dat het gebruikt mag worden etc. Maar is dat dan veilig?
Om bedrijven van dit gevaar op de hoogte te brengen hebben we van de zomer een aantal bedrijven de vraag gesteld hoelang men dacht dat ik nodig had om intern achter een pc, met behulp van standaard gebruikers rechten, de beveiliging te omzeilen. De antwoorden gingen van 1 uur tot onmogelijk.
Het echte antwoord is 90 seconden. Een aantal van de bedrijven zijn de uitdaging aangegaan, en verbaasden zich over het feit dat ik na 90 seconden in staat was om in databases te kijken, en zelfs servers uit te schakelen. En de reden is heel eenvoudig. In Microsoft omgevingen wordt veel gebruik gemaakt van de login- en logoff- scripts. Deze zijn nagenoeg altijd voorzien van “Elevated Privileges”.
Tijdens de uitlogprocedure is het mogelijk om door middel van een toetsencombinatie de procedure af te breken en met behulp van de “Elevated privileges” admin of poweruser rechten te krijgen op de machine. Daarna kan er een extern opslagmedium gekoppeld worden aan de pc, en kunnen zogenaamd “single executabel” applicaties gestart worden. Daarna is het vrij eenvoudig om scripts en dos commando’s te starten. Door dan vervolgens op de lokale machine of een server een scriptje achter te laten die connectie maakt met een externe server wordt de firewall van intern opengezet, en heeft de indringer van waar dan ook toegang tot het interne netwerk.
Maar vanuit de “single executabel” is het ook mogelijk om database servers te zoeken, en daar SQL queries op los te laten met verrassend resultaat. Iemand die dit in de praktijk wil gebruiken heeft maar drie dingen nodig.
- Toegang tot het pand.
- Beschikking over een niet gelockte pc waarvan de gebruiker even van zijn plek is.
- 3 minuten tijd om de pc te gebruiken en een script achter te laten.
In de meeste gevallen staat hij/zij dan binnen 5 minuten weer buiten en treft de gebruiker bij terug komst een pc aan die uitstaat. Vol verbazing (of niet) zal hij deze weer starten waarmee het achter gebleven scriptje geactiveerd word. De indringer heeft vervolgens vanaf een veilige locatie toegang tot het netwerk en kan data ophalen vanaf dat netwerk. Zonder dat de firewall hem/haar detecteert. 95 % of zelfs meer van de zaken waarbij data in de openbaarheid komt word op een dergelijke methode “van binnen uit” gedaan.
Hallo Erik,Interessant stuk!Uiteraard zijn er nog veel simpelere dingen te doen zonder een trucje met de elevated privileges. Hoe dan ook, als een gebruiker zijn pc niet gelockt achterlaat, heeft iemand die achter die pc gaat zitten toegang tot de bestanden en applicaties waar die gebruiker ook toegang toe heeft. Een kopieerslag van bestanden is dan zo gemaakt, met als gevolg dat er belangrijke bedrijfsinformatie op straat kan komen te liggen. Zo zijn er natuurlijk nog wel wat meer zaken. Bijvoorbeeld dat door de wachtwoordpolicies mensen hun wachtwoord niet meer kunnen onthouden. Ze moeten over het algemeen een wachtwoord verzinnen van minimaal 8 karakters met hoofdletters, kleine letters en cijfers of leestekens, en dat moeten ze ook nog eens elke 42 dagen veranderen. Dit heeft als gevolg dat mensen hun wachtwoorden op briefjes e.d. gaan schrijven. Het is natuurlijk een koud kunstje om dat wachtwoord even over te nemen en via een pc in het gebouw of zelfs VPN die authenticeert over radius in te loggen en toegang te krijgen tot belangrijke bedrijfsgegevens. En wat bijvoorbeeld te denken van fysieke toegang tot serverruimtes, routers e.d.?Uit de genoemde voorbeelden blijkt dus hoe belangrijk fysieke beveiliging van het gebouw is en hoe belangrijk het is dat je de contracten met je werknemers juridisch dichttimmert (want zijn je eigen werknemers wel te vertrouwen?)Overigens, is je loginscript ook dusdanig te beveiligen dat de “elevated privileges” niet nodig zijn?Denny