Los ataques de escalada de privilegios consisten en la explotación de una falla o error de diseño en una aplicación de software para acceder a los recursos que normalmente están protegidos de una aplicación o usuario. El resultado es que la aplicación permite la realización de acciones con privilegios que van más allá de un nivel aceptable para un usuario específico.
Los ataques de escalada de privilegios consisten en la explotación de una falla o error de diseño en una aplicación de software para acceder a los recursos que normalmente están protegidos de una aplicación o usuario. El resultado es que la aplicación permite la realización de acciones con privilegios que van más allá de un nivel aceptable para un usuario específico.
El mayor problema dentro de una organización que se relaciona directamente con los ataques de escalada de privilegios, es el acceso de un usuario a una base de datos. A menudo hablamos acerca de abusos o intrusos malintencionados cuando hacemos referencia a estos ataques. Uno de los problemas primordiales es el hecho de que la mayoría de las organizaciones desconoce, y no documenta, quién o cuánto acceso tienen a los datos sensibles dentro de un sistema de bases de datos empresariales.
He aquí algunos ejemplos…
Vulnerabilidad SYS.DBMS_CDC_IMPDP
SYS.DBMS_CDC_IMPDP es un paquete que en las versiones anteriores y sin parche de Oracle contiene los procedimientos que permiten la elevación de privilegios a través de inyección de SQL. De forma predeterminada, este paquete se concede al público y es propiedad del esquema SYS en la base de datos Oracle v10g.
La explotación de esta instancia de inyección SQL puede dar lugar a la ejecución de comandos dentro de los privilegios elevados del usuario SYS, porque los dueños de paquetes (los que tienen la licencia) por lo general poseen privilegios elevados que resulta en potenciales problemas de seguridad en Oracle v10g.
SYS.DBMS_DBUPGRADE vulnerabilidad
Otra explotación para bases de datos que se realiza través de una escalada de privilegios es SYS.DBMS_DBUPGRADE, que contiene una instancia de inyección SQL que permite que cualquier usuario con privilegios de «ejecución» corra comandos con los privilegios elevados del usuario SYS.
¡Conozca sus derechos!
Una buena práctica para la concesión de acceso y permisos a los usuarios de bases de datos dentro de una organización es el principio de mínimo privilegio (PLP). Se requiere que los usuarios tengan la menor cantidad de privilegios para desempeñar sus labores específicos. Los usuarios no deben tener acceso a la información sensible y no está relacionada a sus trabajos, o simplemente tener permiso para ejercer las acciones no esenciales.
Recoger y documentar la extensa y compleja lista de todos los derechos concedidos a un usuario (o a los que no tiene acceso) puede ser una tarea desalentadora. Los privilegios no deben ser asignados directamente a los usuarios, sólo a los roles / grupos de los cuales los usuarios son miembros. Asegúrese siempre de que los usuarios no sean asignados a grupos con privilegios innecesarios.
Implementar una solución para la administración de privilegios del usuario ayudará a una organización a descubrir, documentar y encaminar la red de privilegios y permisos que existen en el entorno de la base de datos. Además, ayudará a identificar a los usuarios abusivos y permite a las organizaciones establecer una separación de funciones.
Alex Rothacker es el administrador del equipo de investigación SHATTER en Application Security.
Via: http://threatpost.es