Sudo exploit

Mischien dat ik 'm niet snap, maar: als je al een script kan draaien onder die gebruiker, dan zal je toch zijn login-gegevens (incl. wachtwoord) al hebben? Dan kan je toch ook al direct via sudo commando's uitvoeren?

En daarom wordt je in de handleiding van sudo ook zo gewaarschuwd dat het over het algemeen een slecht idee is om mensen via sudo overal rechten op te geven.

Sudo is bedoeld voor dit soort zaken, als je gebruikers niet vertrouwd dat ze goed met hun security omgaan moet je ze geen sudo rechten geven.

Als je sudo inzet om bepaalde gebruikers rechten te geven op bepaalde applicaties dan is er niks aan de hand, tenzij in die bepaalde applicaties ook nog een privilege escalation lek zit.

Dit lijkt me inderdaad iets dat niet gewenst is. Als ik het juist hebt, zijn dit soort dingen de rede dat we van X.org weg willen en overstappen naar wayland.
Gelijkaardig is dat veel screenshot tools niet standaard meer onder wayland werken, net omdat er extra restricties zijn.
Je zou dus misschien eens kunnen uitzoeken of dit onder wayland nog steeds mogelijk is.

In X.org is er ook een programma "xhost", dat access controle doet voor processen die met de X.org server willen verbinden. Maar ik vermoed dat dit programma je exploit niet zal voorkomen.

Volgens mij ga je er van uit dat die gebruiker dan een shell start met sudo (blog niet gelezen overigens)

Als ik twee terminals open. In één ‘sudo <programma>’ uitvoer en m’n wachtwoord typ kan vanuit de andere terminal afaik alleen input naar ‘programma’ gestuurd worden. Daar kun je niet zoveel mee in de meeste gevallen.

Het hele idee van sudo is nu juist dat je géén terminal / shell met root-rechten opent voor beheer. Of dat je gebruikers een beperkt aantal programma’s kunt laten uitvoeren (niet bash!) die root-rechten nodig hebben.

Wat je volgens mij ontdekt hebt is hoe je met sudo de ‘beveiligingsdeur’ onbedoeld te ver open zet Ook cool om te ontdekken

Installeren van software hoort dan ook voorbehouden te zijn aan mensen die weten waar ze mee bezig zijn - op alle operating systemen

Edit: nu wel je (@jimshatt) blogpost gelezen. Die password timeout is gewoon ‘evil’. Behalve voor systeembeheer (daarvoor daarom liever een root-shell) is het ook niet gebruikersonvriendelijk imho.

[ Voor 43% gewijzigd door Verwijderd op 31-03-2020 17:17 ]

jimshatt schreef op dinsdag 31 maart 2020 @ 14:51:
Hoi,

Ik ben onlangs aan het experimenteren geweest met sudo op een Debian desktop met Gnome. Ik ben tot de ontdekking gekomen dat ik met een vrij simpel shell script (een minder opvallend procesje dat op de achtergrond in de context van die user draait werkt ook) op het moment dat de gebruiker sudo gebruikt en zijn password heeft ingetypt in een terminal window, keystrokes naar dat window kan sturen en zo vanuit het ongeprivilegieerde proces sudo commando's kan uitvoeren.
[...]

Dit is geen probleem van sudo, maar van de X display server. Dit is een vrij bekend probleem met X server. Er is wel een alternatief, wayland, waar dit probleem niet in zit.

Je hebt helaas geen zeroday voor sudo gevonden; je kunt alle keyboard input vanuit alle applicaties lezen, dus ook wat je typt in je browser op tweakers.net

jimshatt schreef op dinsdag 31 maart 2020 @ 14:51:

[...]

Ik ben absoluut geen expert op dit gebied en ik kan niet inschatten of dit een big deal is of dat het gewoon werkt zoals het hoort.

[...]

Zet je dit ook even in je blog post er bij, dan weet iedereen dit die je blog leest

[ Voor 33% gewijzigd door DaFeliX op 31-03-2020 20:48 ]

jimshatt schreef op dinsdag 31 maart 2020 @ 22:11:
In het geval van Wayland kun je met uinput een virtueel device creëren in userspace, en die events laten sturen.

En hoewel Wayland een flinke verbetering is, is het 'probleem' van je stelling dat je aanval al rechten op het systeem vereist (als de gebruiker van je slachtoffer).

Zodra je je realiseert dat je niets wat je ziet of intikt meer kunt 'vertrouwen' als dat het geval is, dan blijkt dat de belangrijkste boodschap.

Wie zegt dat de password prompt van sudo immers nog wel van sudo is?

sudo laat je zaken uitvoeren met de rechten van een andere gebruiker, maar is expliciet niet bedoeld om de andere 'gebruiker' te beschermen tegen misbruik van die (toegekende) rechten.

Dat is tevens ook de reden dat 'sudo' überhaupt zien als 'beveiligingslaag' (sudo-to-root) een extreem fragiele (en m.i. zinloze) toepassing is. Om rechten te delegeren icm. een stukje (beperkte) auditing is het wel nuttig.

[ Voor 14% gewijzigd door Thralas op 31-03-2020 22:41 ]

jimshatt schreef op dinsdag 31 maart 2020 @ 22:45:
Hoe zou je de password prompt van sudo kunnen faken als je geen root access hebt?

Niets weerhoudt iemand met toegang tot jouw account ervan om een alias te zetten (alias sudo=cowsay). Of $PATH te wijzigen.

@jimshatt root shell met gksu (ook al zo'n deprecated k*t tool) doet ook niks tegen dit probleem. We hebben het over X. Zodra je toegang hebt tot de displayserver kan je gewoon alle vensters lezen en schrijven, ook als dat programma door een andere user met toegang is gestart.

Er is een reden waarom Wayland en MIR zijn gebouwd, dit is er eentje van.

jimshatt schreef op dinsdag 31 maart 2020 @ 22:11:
[...]


Het klopt dat de X server het mogelijk maakt naar willekeurige windows (in dezelfde user context) keystrokes te sturen. Sudo verergert het probleem doordat je nu binnen de password timeout sudo commando's naar een ander window kan sturen

[...]

Hoe verergert sudo iets? Je hebt een script dat het wachtwoord kan lezen dat je intypt. Dan kun je toch gewoon echo $readInput | sudo -S touch /root/owned uitvoeren; dat je toevallig sudo gebruikt, maar verder niets uit.

@jimshatt Met X helaas wel ja. Die architectuur stamt uit de jaren 70, is door de jaren heen helemaal versierd met extenties als een grote kerstboom en uiteindelijk was de conclusie dat er een compleet ander model moest komen en daar was Wayland.

jimshatt schreef op dinsdag 31 maart 2020 @ 22:45:
Dat is eigenlijk de kern van mijn argument / blog post. Sudo (to root) als beveiligingslaag is fragiel.

Heel nauwkeurig geconfigureerde sudo is extreem krachtig, maar dat ben ik in de praktijk (toegegeven, beperkte ervaring) nog nooit tegen gekomen.

Als een beheerder en gebruiker geen blijk geven de handleiding van sudo goed te hebben gelezen, de beveiligingsgevolgen niet snapt, de principes van least privileges niet kent en al gaat klagen dat iemand een wachtwoord moet invoeren om verhoogde rechten te krijgen dan denk ik niet dat het aan sudo ligt.

Ik lees in de blog post eerder dat de gebruiker die te makkelijk maar tools om de hoogste rechten weg te geven gaat gebruiken de zwakste schakel in de beveiliging is.

De regels voor sudo en hogere rechten krijgen zijn simpel: De beheerder heeft voldoende verstand van wat sudo is. De beheerder heeft goede kennis van beveiligingsprincipes. Het gewone account heeft geen verhoogde rechten nodig. Als het account toch verhoogde rechten nodig heeft dan is dat meestal nite zo tenzij er heel goede redenen voor zijn. Als dat er is dan geeft de beheerder alleen de rechten die nodig zijn voor die redenen en niet meer. Die rechten worden alleen gegeven zolang het nodig is. Om misbruik te voorkomen zorg je dat iemand die de rechten krijgt ze ook goed weet te gebruiken en ook de risico's snapt. Om het risico verder te beperken zorg je er voor dat er een password opgegeven moet worden zodat niet iedere onverlaat die toegang krijgt tot een account omdat de gebruiker de screen vergeet te locken of roekeloos scripts gaat draaien de verhoogde rechten weg geeft. Het spreekt voor zich dat de beheerder dat allemaal al kent. De beheerder zorgt er voor dat die in de gaten kan houden dat de rechten niet misbruikt worden. Als de rechten misbruikt worden worden die ingetrokken en de schade ongedaan gemaakt. Mocht de beheerder gebrek aan kennis blijken te hebben over beveiliging en sudo dan moet die eens heel goed gaan nadenken of die maar beter geen beheerder kan gaan spelen.

sudo is geen tool dat je even laat gebruiken zonder handleiding te lezen of beveiliging te snappen. Microsoft is ook niet voor niet (erg laat pas) least privileges door gaan voeren terwijl dat bij besturingssystemen waar sudo sinds 1993 uit voort komt al jaren heel gewoon was.


Meer informatie over sudo:
https://www.sudo.ws/

Of je dochter die sudo rechten nodig had om die barbie iso te mounten en unmounten betwijfel ik. Daarvoor kan je bijvoorbeeld ook de fstab aanpassen. Misschien wil je toch controleren of ze je systeem niet alvast overgenomen heeft. Je weet het tegenwoordig maar nooit met de jeugd

Hoewel debian heel leerzaam kan zijn krijg heb ik mijn bedenkingen dat het geschikt is voor een windows gebruiker die vooral uit gaat van gemak als een gebruiker in plaats van inrichting en onderhoud als een beheerder. Sinds 2004 is er bijvoorbeeld Ubuntu dat veel meer gericht is om als (windows) gebruiker kennis mee te maken. Misschien past die oplossing dan meer om het gebrek aan kennis en kundigheid te overbruggen.

Bij thuisgebruik ga ik er ook vanuit dat accounts niet zomaar hogere rechten moeten kunnen gebruiken. Iets wat in de praktijk ook normaal lijkt als je een moderne os gebruikt. De eigenaar is thuis vaak ook de beheerder maar je gaat voor normaal gebruik niet een account gebruiken met standaard beheer rechten. In plaats daarvan is er een tussenoplossing: die gebruiker heeft een gewoon account met de mogelijkheid om bewuster tijdelijk hogere rechten te gebruiken. Wil je hogere rechten? Dan zul je aan moeten geven dat je dat wil en dat je je kan authenticeren met bijvoorbeeld het benodigde wachtwoord. En het liefst nog op die manier dat als je die aanvraag doet het zo specifiek is dat die rechten alleen van toepassing zijn op wat nodig is. En bij al die andere gebruikers stel je thuis de vraag of je die wel zoveel rechten wil geven, of je de moeite wil van selectieve rechten of lastig vallen van de gebruiker met hogere rechten.
En als de gebruiker met de hogere rechten dan door krijgt dat andere ook misbruik kunnen proberen te maken dat het account? Bij macht komt ook verantwoordelijkheid.

jimshatt schreef op donderdag 2 april 2020 @ 15:10:
Kun je sudo zo configureren dat je per specifieke taak een ander wachtwoord in moet voeren?

Dat hangt er vanaf wat je verstaat onder een specifieke taak en welke risico's je daarmee wil voorkomen.

Je beveiliging is niet sterker dan het zwakste onderdeel. Als je iemand rechten geeft om je systeem aan te passen en dat wil je scheiden van toegang tot het mounten dan is je hoogste risico waarschijnlijk niet dat een onbevoegde kan mounten maar dat die mogelijk toegang geeft tot account en het wachtwoord om je systeem aan te kunnen passen.

Als je je zorgen maakt dat een gebruiker onbewust code laat uitvoeren om wachtwoorden af te vangen en de taak is het openen van een shell met verhoogde rechten om het hele systeem aan te kunnen passen dan heeft die scheiding weinig zin. Dan kan je er maar beter voor zorgen dat die gebruiker geen onveilig code kan uitvoeren en geen toegang tot zoveel mogelijkheden heeft. Of je neemt het risico door te zorgen dat je wel genoeg vertrouwen hebt dat de persoon geen code gaat uitvoeren die tot heel veel problemen gaat leiden (en zorg je voor oplossingen om eventuele problemen snel te detecteren en te herstellen zoals altijd).