Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Administrator protection

28-11-2024, 16:20 door Erik van Straten, 5 reacties
Het werd vorige week al genoemd door de redactie (in https://security.nl/posting/866338):
Daarnaast komt er een nieuwe feature genaamd Administrator Protection, waarmee Windowsgebruikers zonder adminrechten systeemaanpassingen of installaties kunnen uitvoeren.

UAC
Je hoeft niet lang te zoeken op internet: de zoekresultaten van UAC bypass (bijv. https://duckduckgo.com/?q=uac+bypass) laten weinig aan de verbeelding open.

UAC (User Account Control) bleek te eenvoudig te omzeilen, en al snel riep Microsoft dat het "geen security boundary" was. Ook niet als je de schuif in stand 4 (in plaats van standaard 3) zette. Waarom je het dan überhaupt zou invoeren, ontgaat mij. Sterker, met UAC zijn er bergen aan complexiteit toegevoegd aan Windows, waar vervolgens eindeloos aan gesleuteld is. Zonder bevredigend resultaat (integendeel).

Run as
Windows biedt al vele jaren de "Run as" mogelijkheid. Ook niet 100% veilig (niets is dat) maar simpel. Al sinds NT 3.51 maak ik, direct na installatie van Windows op "mijn" computers, twee accounts aan: eentje die (tevens) lid is van de groep Administarors, en -voor dagelijks gebruik- een account dat lid is van de groep Users.

Als ik iets moet doen waar admin-privileges voor vereist zijn, start ik een nieuw proces (meestal Total Commander) met admin privileges. En ja, dan moet ik (onder mijn, by default geselecteerde, AdminEvS account), elke keer opnieuw (maar zo vaak is dat niet) het bijbehorende wachtwoord invoeren.

Ik blijf hiermee zoveel mogelijk in control. Met de juiste voorzorgsmaatregelen kan ik niet eenvoudig worden gefopt door iets dat zich (op het beeldscherm) voordoet als een betrouwbaar proces (waarvan ik de privileges zou moeten verhogen). Vóórdat ik als "admin" een proces start, heb ik dat al aan verschillende checks onderworpen (eerst als gewone user, daarna als admin - ik zie het, mochten er -onverwacht- bijvoobeeld potentiële "hijacking DLL's" in dezelfde map staan).

Deze werkwijze heeft nog andere voordelen ook: ik kan bijvoorbeeld gewoon regedit starten zonder door een UAC-prompt te worden geïrriteerd.

Risico's Run As
Bij "Run As" is het niet erg duidelijk waar de scheiding tussen de accounts precies ligt en hoe lastig deze "grens" te overschrijden valt (voor -reeds draaiende- kwaadaardige software, die als verstekeling met mij meelift bij het oversteken van de grens). Een voordeel voor mij is dat er weinig malware gemaakt wordt die vanuit gaat dat mensen Windows gebruiken zoals ik doe (stom dat ik dit schrijf).

Het meest veilige is uitloggen en inloggen onder het adminaccount, maar omdat ik sowieso voorzichtig ben, verlaagt dat mijn risico's onvoldoende om het tijdverlies te rechtvaardigen. Deze afweging kan echter voor iedereen anders uitvallen. Een tussenweg is "Switch Desktop", maar omdat ook dit vanuit een ingelogd account plaatsvindt, weegt m.i. ook in dit geval het kleinere risico (t.o.v. Run As) niet op tegen het gedoe.

Administrator protection
Welke security-concessies de vorige week door Microsoft aangekondigde Administrator protection (https://techcommunity.microsoft.com/blog/windows-itpro-blog/administrator-protection-on-windows-11/4303482) doet, weet ik nog niet precies.

Maar ik voorspel nu al malware die misbruik zal maken van de meest eenvoudig denkbare privilige escalation: door eindgebruikers voor de gek te houden. Want van wat ik ervan begrijp, gaat het bij Administrator protection (net als bij UAC) om een reactief proces: de gebruiker start iets en Windows ontdekt dan pas dat de gebruiker onvoldoende privileges heeft. De user ziet bijvoorbeeld een "Verified Publisher", maar veel te vaak zegt zo'n naam helemaal niets. Administrator protection lijkt een "verbeterde" maar nog steeds kansloze UAC.

Gebruiksvriendelijke security boundaries zijn zwakke security boundaries.
Reacties (5)
28-11-2024, 17:38 door Anoniem
Door Erik van Straten: Maar ik voorspel nu al malware die misbruik zal maken van de meest eenvoudig denkbare privilige escalation: door eindgebruikers voor de gek te houden. Want van wat ik ervan begrijp, gaat het bij Administrator protection (net als bij UAC) om een reactief proces: de gebruiker start iets en Windows ontdekt dan pas dat de gebruiker onvoldoende privileges heeft. De user ziet bijvoorbeeld een "Verified Publisher", maar veel te vaak zegt zo'n naam helemaal niets. Administrator protection lijkt een "verbeterde" maar nog steeds kansloze UAC.
Die aanpak van veel "laat mij dit maar voor je doen" gecombineerd met plotselinge "wil je dit wel?"-vragen is waarom ik al zowat een kwart eeuw gelezen het zogenaamd niet gebruiksvriendelijke Linux een kwart eeuw geleden al een verademing vond.

Bij digibete medemensen merkte ik op dat ze er een "de computer zal het wel beter weten dan ik"-houding aan overhielden en juist daardoor (zelfs wel eens waar ik bij stond en voor ik kon ingrijpen) toestemming gaven voor dingen waar ze absoluut geen toestemming voor moesten geven.

Het is geen goede aanpak, en afgaande op wat jij schrijft kan Microsoft hem maar niet loslaten.

Gebruiksvriendelijke security boundaries zijn zwakke security boundaries.
Het is niet gebruiksvriendelijk, het is uitermate gebruiksonvriendelijk om risicovolle handelingen zo laagdrempelig te maken dat het makkelijk misgaat. Ik bedoel niet dat het dan maar maximaal omslachtig moet worden gemaakt door mensen door voor hun onbegrijpelijke hoepels te laten springen, het juiste streven lijkt mij om uit te nodigen tot grote zorgvuldigheid en bedachtzaamheid op een manier die mensen juist wél aankunnen.

Hoe dat er precies uit moet zien? Ik durf dat niet met zekerheid te zeggen, ik ben namelijk door zelf relatief veel te begrijpen regelmatig totaal verrast door wat mensen niet blijken te begrijpen, en dat maakt me niet de meest geschikte persoon om dat te beoordelen.

Wel is me opgevallen dat vroeger mensen met DOS konden werken die tegenwoordig totaal niet meer zouden snappen wat een directory is, om maar wat te noemen. Het is me in de jaren '90 ook opgevallen dat mensen die onder DOS het verschil tussen een programma en een databestand (of document) prima kenden onder Windows een document een programma begonnen te noemen omdat je het opende door er, net als bij een programma, op te dubbelklikken in de explorer.

Dat soort dingen geeft mij de indruk dat al die fancy "makkelijke" dingen het begrip van waarmee gewerkt wordt niet ondersteunen maar juist ondergraven. Een goede interface van een OS zou er wel eens een kunnen zijn die naar de maatstaven waar we aan gewend zijn geraakt behoorlijk basaal is, en die mensen voortdurend in aanraking houdt met hoe de basale concepten en structuren waar computers en software op gebaseerd zijn werken. Dan weten mensen door gewenning hoe het zit, ook de mensen aan wie het eigenlijk niet uit te leggen is.

Weet ik dat zeker? Nee. Ik merk wel al tientallen jaren dat het gevoel dat dat wel eens een goede benadering zou kunnen zijn me regelmatig opnieuw bekruipt.
28-11-2024, 18:53 door karma4
De overgang dat Microsoft SSH wenst te ondersteunen op de marktvraag en her en der webverkeer gebruikt voor beheerstaken is de ondergraving van UAC. Eenvoudiger dan dat is het niet.
28-11-2024, 19:34 door Tintin and Milou - Bijgewerkt: 28-11-2024, 19:36
We gebruiken hier beyondtrust voor Administrator Protection.
Werkt eigenlijk heel goed moet ik zeggen, integratie icm ServiceNow om approval te krijgen.

Maar configuratie staat heel strak merk ik. Als ik een setup wil (en mag draaien) kan ik vanuit die setup, niet zomaar een andere setup draaien, dat is een nieuwe approval die je moet doen.
Zo moest ik laatst HP drivers installeren, en per driver, waren dit 3 approvals.

Ik ben wel benieuwd hoe secure beyondtrust nu exact is, maar ik heb geen zin, om dit te testen. Ik kom liever niet bij mijn manager of een CISO.

UAC
Je hoeft niet lang te zoeken op internet: de zoekresultaten van UAC bypass (bijv. https://duckduckgo.com/?q=uac+bypass) laten weinig aan de verbeelding open.
Hoeft niet direct te bekenen, dat dit ook werkt. UAC bypass hoeft niet zoveel te betekenen, met de juiste applicatie/configuratie.
Ik kan hier ook een shell met admin rechten krijgen, maar installaties van software krijg ik echt niet voor elkaar op mijn laptop vanuit die shell.
29-11-2024, 19:47 door Anoniem
Door Erik van Straten:

Maar ik voorspel nu al malware die misbruik zal maken van de meest eenvoudig denkbare privilige escalation: door eindgebruikers voor de gek te houden. Want van wat ik ervan begrijp, gaat het bij Administrator protection (net als bij UAC) om een reactief proces: de gebruiker start iets en Windows ontdekt dan pas dat de gebruiker onvoldoende privileges heeft. De user ziet bijvoorbeeld een "Verified Publisher", maar veel te vaak zegt zo'n naam helemaal niets. Administrator protection lijkt een "verbeterde" maar nog steeds kansloze UAC.

Gebruiksvriendelijke security boundaries zijn zwakke security boundaries.

Geen enkele losse security feature van Microsoft is perfect, maar met een combinatie van meerdere security features kom je best wel ver.
Heb je wel eens verdiept in WDAC?
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/appcontrol
30-11-2024, 12:18 door Erik van Straten
Door Anoniem: Heb je wel eens verdiept in WDAC?
Zowel WDAC als appcontrol kunnen eenvoudig worden omzeild (o.a. met LOLBins).

Door Anoniem: Geen enkele losse security feature van Microsoft is perfect, maar met een combinatie van meerdere security features kom je best wel ver.
Het uitgangspunt van Microsoft was en is gebruiksvriendelijkheid boven security.

In de ca. 25 afgelopen jaren heeft Microsoft talloze mogelijkheden toegevoegd waar je hun software "veiliger" (dan "out of the box") mee zou kunnen maken. Zoiets redelijk aan de praat krijgen betekent heel veel uitzoekwerk, en vervolgens loop je (de eindgebruikers) tegen allerlei compatibiliteitsproblemen aan, en helpdeskmedewerkers horen "thuis werkt dit gewoon". Vervolgens kom je erachter dat ook de laatste oplossing eenvoudig te omzeilen valt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.