Access management outfit BeyondTrust heeft er bij organisaties op aangedrongen om beheerdersrechten van gebruikers te verwijderen, met het argument dat dit vorig jaar op zijn minst meer dan 100 kwetsbaarheden in Microsoft-producten zou hebben verzacht.
Het beperken van bevoegdheden is infosec 101: zoals Microsoft hier uitlegt, beperkt het de hoeveelheid schade of verandering die een persoon kan doen, wat vooral handig is wanneer hun account wordt gekaapt. Er zijn echter bedrijven en groepen die bijvoorbeeld intern onder druk worden gezet om mensen beheerdersrechten te geven om mensen aan het werk te houden met lastige software-implementaties.
BeyondTrust – dat hier een duidelijk commercieel belang heeft omdat het tools verkoopt die bevoorrechte toegang beheren – geeft een voorbeeld van een overwerkte IT-ondersteuningsdesk die gebruikers op lange termijn speciale rechten verleent om taken uit te voeren om te voorkomen dat ze nieuwe tickets indienen telkens wanneer ze ergens toegang toe moeten hebben.
De stateside biz brengt dit naar boven omdat het in 2020 1.268 cve-genoteerde bugs heeft geanalyseerd die zijn opgelost in Microsoft-producten en -services, en concludeerde deze week in een rapport dat de exploitatie van meer dan de helft van de 196 kritisch beoordeelde kwetsbaarheden – 109 om precies te zijn – had kunnen worden verzacht door beheerdersrechten van gebruikers te verwijderen.
Interessant genoeg merkte de biz op dat het aantal gepatchte privilege-escalatiebugs in de software van Microsoft in 2020 jaar-op-jaar is toegenomen. Dat benadrukt, zo wordt ons verteld, de waardevolle aard van toegang op beheerdersniveau – dat het verkrijgen van externe code-uitvoering niet genoeg is, bevoorrechte toegang is ook wenselijk – en daarom voegt het meer gewicht toe aan het verminderen van de beheerdersrechten van gebruikers. Als Microsoft vecht om de hoogte van bevoegdheden laag te houden, waarom volgt u dit voorbeeld dan niet en maakt u het leven moeilijker voor miskleunen door bevoegdheden op beheerdersniveau niet onnodig uit te delen.
Vergeet echter niet dat volgens de bevindingen van Kenna Security uit februari slechts 2,6 procent van de in 2019 ontdekte CVE-genoteerde bugs actief in het wild werden uitgebuit. Dus hoewel het verwijderen van beheerdersrechten van gebruikers de exploitatie van X procent van gebreken kan hebben beperkt, zouden er maar weinig van hen toch in de echte wereld zijn uitgebuit.
Het eerdere punt is echter: het beperken van beheer op beheerdersniveau is een goede zaak. Zoals BeyondTrust CTO Morey Haber het tegen El Reg zei: “Waarom zou iemand, of welke organisatie dan ook, een gebruiker toestaan om op internet te surfen met beheerdersrechten?”
Het geeft organisaties letterlijk tijd om te patchen en vermindert bedreigingen van opportunistische aanvallen
Haber benadrukte wel dat het verwijderen van de beheerdersrechten van mensen geen kortere weg is naar de juiste beveiliging. “Hoewel het verwijderen van beheerdersrechten de bedreigingen van een grote verscheidenheid aan Microsoft-kwetsbaarheden vermindert,” vertelde hij ons, “is het geen permanente oplossing. Het geeft organisaties letterlijk tijd om te patchen en vermindert bedreigingen van opportunistische aanvallen. Uiteindelijk is patchen de enige permanente oplossing.”
In maart hebben Microsoft en de hele infosec-industrie er tot nu toe bij organisaties op aangedrongen om exploiteerbare beveiligingsproblemen in Exchange Server te patchen in de nasleep van de Hafnium-bemanning die zich richt op kwetsbare implementaties. Deze week bracht waarschuwingen van slowaakse infosec biz ESET dat zes schijnbaar door de staat gesponsorde bemanningen zero-day exploits tegen de software gebruikten om slachtoffers in gevaar te brengen voordat patches beschikbaar werden gesteld.
Microsoft heeft ook vrijgegeven wat het factureert als een “one click” mitigatietool gericht op organisaties met on-prem Exchange-implementaties, en zegt: “Deze nieuwe tool is ontworpen als een tussentijdse mitigatie voor klanten die niet bekend zijn met het patch / update-proces of die de on-premises Exchange-beveiligingsupdate nog niet hebben toegepast.” ®