Massimo Carlotti, Solution Engineering Manager Italy di CyberArk, spiega perché è opportuno eliminare completamente i diritti di amministratore locale.
L’idea di rimuovere i diritti di amministratore locale a ogni singolo utente dell’organizzazione potrebbe probabilmente suscitare forti reazioni. Basta cercare nei forum “rimuovere i diritti di amministratore locale” per capire esattamente cosa intendo, ma le motivazioni sono diverse e numerose.
I diritti di amministrazione locale sono come caramelle pronte per essere rubate dai cyber-attaccanti, allo scopo di essere utilizzate per accedere più a fondo nella rete aziendale. In realtà, gli utenti standard non hanno bisogno del controllo totale dei sistemi e soprattutto di eseguire codice arbitrario con privilegi elevati. Inoltre, è troppo rischioso.
Ma è veramente possibile eliminare completamente i diritti di amministratore locale? Anche per gli amministratori di database, operatori di help desk, team di manutenzione dell’infrastruttura e degli operatori di backup? Questi hanno necessità di un accesso con elevati livelli di privilegi per svolgere il loro lavoro e il team di sicurezza non ha tempo o risorse per concedere manualmente permessi extra in tempi brevi.
Tutto questo è vero, ma non significa che gli utenti privilegiati debbano essere amministratori locali. In realtà, nessun utente dovrebbe essere un amministratore locale. Sapete cosa può fare un utente con diritti di amministrazione locale, o un malintenzionato che si spacci per tale? Ecco un elenco, non esaustivo:
- Modificare le configurazioni hardware e di avvio (abilitare/disabilitare i dispositivi, perfino modificare il voltaggio e le frequenze di CPU e memoria, ecc.).
- Modificare o eliminare volumi di archiviazione.
- Semplificare radicalmente le tecniche di malware, come l’iniezione di codice e il dirottamento di DLL.
- Ottenere facilmente persistenza su una macchina con il registro di sistema completamente aperto per l’analisi e la modifica.
- Disabilitare journaling, alterazione o cancellazione di eventi.
- Disattivare gli agent di backup o modificarne le configurazioni… e cancellare qualsiasi copia locale.
- Modificare le impostazioni della shadow copy o copiarla (per esfiltrare i dati “cancellati” in precedenza).
- Modificare e aggiungere utenti e ruoli amministrativi o nasconderli dal menu di accesso.
- Accedere ai dati di ogni utente sulla macchina e modificare i proprietari di file e cartelle.
- Crittografare il master boot record (MBR) del disco rigido, noto anche come crittografia ransomware dell’intero disco.
- Disattivare o riconfigurare alcune delle soluzioni di sicurezza endpoint esistenti.
- Modificare le impostazioni di rete, aggiungere “trusted zone”, impostare tunnel o reindirizzare il traffico.
- Modificare il sistema dei nomi di dominio (DNS), dirottarlo o esfiltrare dati attraverso le richieste DNS.
- Modificare le impostazioni del browser o aggiungere estensioni.
- Accedere a buona parte dei secret memorizzati sul computer: nei “credential provider” di Windows, nel browser, in Putty, in FileZilla o in qualsiasi altro programma che memorizzi credenziali.
- Accedere e modificare gli archivi di certificati, cambiare le trust chain e decifrare qualsiasi comunicazione sicura.
- Sfruttare risorse interne per lanciare attacchi informatici.
- Accedere, analizzare e modificare il contenuto della memoria.
- Utilizzare servizi di sicurezza per ottenere l’esecuzione di codice nel servizio server dell’autorità di sicurezza locale (LSASS), che può essere utilizzato anche per estrarre hash di password e ticket Kerberos.
- Installare QUALSIASI strumento amministrativo non dannoso e distribuire un arsenale di strumenti benigni (che nelle mani sbagliate diventano il “kit di strumenti di attacco definitivo”) senza innescare notifiche dell’antivirus.
- Installare un malware cryptominer per assumere il controllo delle risorse della macchina e utilizzarle per il mining illecito di criptovalute.
- Attivare tracker hardware integrati o di terze parti per localizzare i dispositivi in qualsiasi parte del mondo.
- Bypassare e/o disabilitare il controllo dell’accesso dell’utente.
- Effettuare il downgrade di driver, versioni e librerie, o forzatura dell’uso di protocolli e programmi noti e vulnerabili.
- Effettuare il flash del firmware dei dispositivi collegati (ad esempio, disabilitare il LED di una telecamera o caricare un firmware modificato su un PLC).
- Accedere a token di sicurezza e chiavi di crittografia.
- Bypassare gli air gap per accedere a sistemi critici di tecnologia operativa (OT).
- Accedere a pannelli di controllo di supervisione e acquisizione dati (SCADA) per infrastrutture critiche, quindi modificare i parametri hardware per disabilitare i sensori di sicurezza o causare risonanze hardware.
- Infine, ma non meno importante, fare praticamente qualsiasi cosa: installare, rimuovere, accedere, leggere, esfiltrare, intercettare, analizzare, scaricare, crittografare, riconfigurare, scaricare, caricare, abilitare, disabilitare, eseguire onsite o da remoto, forzare, cancellare, nascondersi, occultare, osservare, ascoltare, spiare, imparare e prepararsi a tutto.
Non avete tempo per leggere tutti i 29 (e più) superpoteri degli amministratori locali? Allora ecco il nocciolo della questione: con tutti i diritti di amministratore a disposizione, anche l’utente più coscienzioso e benintenzionato si trova ad avere un controllo eccessivo sull’ambiente digitale dell’organizzazione, mettendo a rischio dati e sistemi critici (anche lo stack di sicurezza esistente).
Non tutte le azioni sopra elencate richiedono questi diritti e alcuni attacchi finiranno per eludere i livelli di difesa degli endpoint. Tuttavia, ipotizzando una violazione, l’eliminazione dei diritti di amministrazione locale e l’applicazione del minimo privilegio all’endpoint (e ovunque) rendono talmente difficile per gli attaccanti raggiungere i loro obiettivi che la maggior parte si rivolgerà altrove.
Limitare gli utenti ad avere account standard avrebbe un profondo impatto positivo sulla sicurezza, ma se la riduzione dei diritti di amministrazione dovesse creare un attrito significativo le attività dell’IT diventerebbero ancora più complesse (per non parlare dell’inevitabile reazione degli utenti frustrati).
Alcuni esperti informatici affermano addirittura che la rimozione dei diritti di amministrazione locale danneggi l’azienda più di quanto la aiuti. Probabilmente questo deriva dal tipo di setup e, forse, perché accedono da remoto ai computer degli utenti al fine di installare font o stampanti, aggiornare programmi o cambiare il fuso orario. Oppure perché hanno cercato di imporre agli utenti il loro modo di operare e alla fine hanno dovuto cedere e restituire i diritti di amministratore locale.
Tutte queste sfide possono essere risolte da un endpoint privilege manager ben strutturato – che rappresenta oggi un elemento fondamentale del moderno stack di sicurezza degli endpoint – in grado di rimuovere i diritti di amministrazione locale e, in base alle policy, elevare programmi o attività in modo trasparente.
Un endpoint privilege manager efficace consentirà infatti di:
- Rimuovere i diritti di amministrazione locali e applicare i privilegi minimi per ridurre le vulnerabilità di sicurezza degli endpoint, elevando i privilegi degli utenti su richiesta, in tempo reale, con un coinvolgimento minimo o nullo dell’helpdesk.
- Bloccare i ransomware controllando puntualmente le autorizzazioni delle applicazioni in base a regole aziendali che possono tenere conto di condizioni granulari e difendersi da altre minacce che hanno come obiettivo e/o origine gli endpoint.
- Proteggere dal furto di credenziali salvaguardandone gli archivi locali (es. browser, applicativi,…), contribuendo a contenere i malintenzionati e ridurre il raggio d’azione degli attacchi.
- Migliorare la user experience fornendo a persone e applicazioni l’accesso a risorse adeguate, nel momento corretto.
- Soddisfare i requisiti di audit e conformità semplificando l’applicazione delle policy.
- Proteggere endpoint Windows, Windows Server, macOS e Linux, in ogni ambiente, da ibrido a cloud, generando valore da subito, con un rapido ROI.