ru

Что такое расширение привилегий?

18 февраля 2016

Dave Piscitello

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

null

В моей предыдущей статье рассматривались меры, которые принимают организации, чтобы обеспечить соблюдение политики проверки подлинности. Политика проверки подлинности и используемые для обеспечения ее соблюдения способы — средства управления доступом, права или привилегии пользователя — предназначены для защиты конфиденциальной информации от несанкциониро­ванного просмотра, изменения или удаления. Такая политика также может защитить от несанкционированного выполнения приложений на компьютере.

Злоумышленники, преступники или лица, занимающиеся кибер-шпионажем, заинтересованы — финансово, социально-политически или ради дурной славы — в том, чтобы обойти политику проверки подлинности и получить доступ к секретным или конфиденциальным данным, обмануть продавца товаров или украсть деньги. Эти нарушители часто начинают с компрометации учетных записей пользователей. При другом подходе они ищут уязвимости, которыми можно воспользоваться для получения контроля над компьютерной системой или приложением.

Через такие первоначальные пути поиска уязвимости нарушитель получает определенные привилегии доступа. Затем нарушитель постепенно зондирует скомпрометированную систему для получения более широких привилегий, чем первоначальные, рассчитывая получить доступ к конфиденциальным данным других учетных записей или даже полный административный контроль над системой. Когда нарушитель расширяет свой первоначальный несанкциониро­ванный доступ таким способом, это называется атакой по расширению привилегий.

Горизонтальное расширение привилегий

Предположим, что нарушитель получил доступ к учетной записи для дистанционного банковского обслуживания. Он хочет украсть деньги, но находящейся на этом счете суммы ему мало. Тогда он зондирует систему для получения данных или пробует воспользоваться различными средствами эксплуатации уязвимостей, чтобы получить доступ к другим учетным записям. Это называется горизонтальным расширением привилегий, потому что нарушитель перемещается по одному уровню между учетными записями с одинаковыми привилегиями.

Как осуществляется такое горизонтальное перемещение? Нарушитель может изучить гиперссылки, которые возвращает банковская система после входа в учетную запись, чтобы получить сведения об организации контента на сайте банка. Он может обнаружить, что банк шифрует номер учетной записи клиента в этих гиперссылках определенным образом. Он составляет и пытается ввести для доступа к веб-сайту другие гиперссылки, стремясь найти слабое место в банковской системе безопасности и выяснить, позволяет ли эта брешь увидеть учетные данные других клиентов или (что еще лучше) перевести денежные средства. В случае успеха он может получить доступ к нескольким учетным записям, прежде чем банк обнаружит следы его деятельности или клиент сообщит о краже. Это называется методом прямой ссылки на объект.

Вертикальное расширение привилегий

Часто нарушители заинтересованы в получении полного контроля над компьютерной системой, чтобы использовать ее по своему желанию. Когда нарушитель начинает с компрометации учетной записи пользователя и ему удается расширить или поднять привилегии одного пользователя до уровня полных административных привилегий или «корня», такая атака называется вертикальным расширением привилегий.

Рассмотрим ситуацию, когда нарушитель получил доступ к учетной записи в компьютерной системе. Он проводит ближнюю разведку, чтобы изучить возможности скомпрометированного пользователя и выяснить, к какой информации он может получить доступ, может ли он через эту учетную запись создавать сценарии или компилировать программы, и не только. Если у него есть возможность загружать и выполнять программы на скомпрометированном компьютере, то он может запустить программное обеспечение, использующее уязвимости системы. Он изучает систему до тех пор, пока не найдет уязвимость или ошибку конфигурации, которой можно воспользоваться, чтобы стать администратором намеченного компьютера, или прекращает свои попытки в этой системе и переходит к другому компьютеру.

Кроме того, нарушитель может обойти систему доступа к защищенной или конфиденциальной информации через каналы удаленного доступа. Например, тщательно составляя запросы, использующие уязвимость веб-приложения на целевом сайте, нарушитель способен внедрить непосредственно в приложение базы данных сайта команды, которые позволят получить доступ к вроде бы защищенным регистрационным записям или полностью скопировать содержимое базы данных (см. внедрение в SQL). В арсенале нарушителей есть множество средств эксплуатации уязвимостей, но чаще всего просто используется отсутствие в веб-приложении проверки типа данных, которые отправлены пользователем: в таких случаях приложение пропускает в базу данных все, что нарушитель ввел в веб-форму, а база данных исполняет полученные команды, часто с катастрофическими последствиями, включая полное раскрытие, изменение или повреждение базы данных.

Укрепляйте систему проверки подлинности и подтверждения всех данных!

Есть три простых средства для ослабления атак по расширению привилегий: (1) предложите своим пользователям и клиентам самый надежный способ проверки подлинности из всех возможных и применяйте его грамотно (например, используйте длинные, надежные и сложные пароли), (2) убедитесь в отсутствии у ваших веб-приложений известных уязвимостей, чтобы свести к минимуму успешность атак с помощью средств эксплуатации уязвимостей, и (3) проверяйте все данные, отправленные пользователями через имеющиеся на вашем веб-сайте формы. Приняв эти меры, вы сделаете свою организацию менее уязвимой к атакам по расширению привилегий.

Dave Piscitello