Ridurre al minimo i privilegi concessi ad applicazioni ed utenti è una pratica necessaria se non indispensabile per ridurre i rischi di attacco informatico.
Tuttavia a dispetto di quanto si possa pensare questa best practice non è sufficiente da sola. Esistono delle vulnerabilità che permetto all’attaccante di eseguire un payload utilizzando un livello maggiore di privilegi rispetto a quelli che aveva l’applicazione vulnerabile.
E’ essenziale quindi monitorare costantemente le applicazioni vulnerabili ed in base alla gravità occorre procedere con la loro correzione nel più breve tempo possibile.
Prendiamo per esempio la vulnerabilità CVE-2016-0003 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0003 che riguarda Microsoft Edge, il nuovo browser che sostituisce Microsoft Internet Explorer.
Impact CVSS Severity (version 3.0): CVSS v3 Base Score: 9.6 Critical Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H Impact Score: 6.0 Exploitability Score: 2.8 CVSS Version 3 Metrics: Attack Vector (AV): Network Attack Complexity (AC): Low Privileges Required (PR): None User Interaction (UI): Required Scope (S): Changed Confidentiality (C): High Integrity (I): High Availability (A): High
Questa vulnerabilità, dovuta ad un buffer overflow permette all’attaccante di eseguire del codice arbitrario (payload).
Ma la cosa più temibile è che il codice avrà permessi superiori rispetto alla applicazione vulnerabile (metrica CVSS Scope: Changed).
Il suggerimento è quello di effettuare opportune configurazioni per ridurre al minimo i privilegi delle applicazioni e degli utenti, per diminuire i rischi, ma anche di adottare delle politiche per monitorare e correggere in maniera automatica le vulnerabilità delle applicazioni