Die Gefahr durch mit Adminrechten ausgeführte Skripte

Bezüglich der Gefahr durch zu großzügig vergebene Zugriffsrechte auf Netzwerkfreigaben, wie es bei Branchensoftware gerne direkt vom Supporter des Softwareherstellers eingerichtet wird, habe ich bereits in diesem Artikel geschrieben. Im folgenden möchte ich eine Gefahr aufzeigen, die ebenfalls oftmals in diesem Zusammenhang geschaffen wird. Es geht sich um Skripte die beispielsweise einen Import von Daten oder dergleichen für diese Branchensoftware automatisieren.

Was ist an diesen problematisch? Im Regelfall werden diese direkt mit einem Domänen-Administrator ausgeführt, sodass bloß keine Berechtigung eingerichtet werden muss oder fehlen könnte. Dieses Vorgehen habe ich schon oft gesehen. Allerdings birgt dies deutliches Gefahrpotenzial. Denn dieses Skript wird nun mal mit den vollen Admin-Rechten, die in den seltensten Fällen wirklich nötig sein sollten, ausgeführt!

Nun kombiniert man diesen Umstand noch mit der Netzwerkfreigabe, für welche die Zugriffsrechte viel zu lasch vergeben worden sind. So viel Glück wie man dann hat, liegt dieses Skript dann nämlich auf dieser Freigabe. Oder man vergisst das ein solches Skript dort liegt und vergibt irgendwann weitreichendere Rechte für normale Benutzer auf diese Freigabe.

Also kann dann theoretisch jeder Benutzer, auch wenn er vermutlich keine Ahnung davon hat, dieses Skript, welches dann irgendwann mit Admin-Rechten wieder gestartet wird, verändern! Für jemanden der Ahnung hat wonach er suchen muss, ist dies natürlich ein schönes Eingangstor, wenn er beispielsweise Zugriff auf einen vermeintlich ungefährlichen Domänen-Benutzer bekommen hat.

 

Gefahr

Natürlich könnte jemand dann irgendwelche Ordner und Dateien löschen oder verschieben lassen oder was auch immer man so mit Domänen-Admin-Rechten alles machen kann… Am einfachsten wäre es aber sich dann mit den folgenden zwei Zeilen einfach einen neuen Domänen-Administrator-Account anzulegen, welcher dann nach der nächsten Skript-Ausführung für den Angreifer bereit steht:

Sichere Lösungen:

Man sollte das Skript lokal bzw. in einer Netzwerkfreigabe ablegen, auf welche nur der Domänen-Administrator Zugriff hat.

Aber noch besser ist es meiner Meinung nach, einen Domänen-Benutzer zu erstellen, der lediglich über die Rechte verfügt die nötig sind, damit das betroffene Skript ausgeführt werden kann. Also wenn dieser Benutzer beispielsweise die Rechte für den Programmordner hat

 

Schreibe einen Kommentar