Durante a Hactivity Conference deste ano, realizada em Budapeste, Hungria, o especialista em segurança László Tóth apresentou um método que é considerado permissivo para que atacantes desabilitem as funções de auditoria e recursos de autenticação, em todas as versões de bases de dados Oracle.
Para conseguir o intuito, o especialista em segurança usou o utilitário oradebug, que faz parte de cada instalação do Oracle. O recurso de auditoria é projetado para assegurar que as ações de banco de dados são documentadas de forma confiável, que permite que qualquer alteração seja traçada.
O utilitário oradebug tem comandos como poke, uma instrução que foi utilizado para alterar o conteúdo da memória em BASIC. Tóth disse que o comando pode ser usado para desativar a auditoria para os usuários do sistema, como SYSDBA e SYSOPER. O especialista explicou que o único pré-requisito é que o atacante deve ser capaz de executar oradebug - isto pode ser conseguido através do privilégio SYSDBA que, como Tóth também demonstrou em sua apresentação, podem ser facilmente obtido por qualquer administrador de banco de dados.
Para desativar o recurso de auditoria, um atacante pode usar uma instrução SQL simples, para recuperar o endereço de memória de uma variável do sistema interno da table X$KSMFSV. Este endereço é então colocado em zero:
SQL> oradebug poke 0×60031bb0 1 0
BEFORE: [060031BB0, 060031BB4) = 00000001
AFTER: [060031BB0, 060031BB4) = 00000000
Alexander Kornbrust, especialista em segurança da Oracle, pensa que produtos como o Oracle Audit Vault, que são baseados em funções de auditoria de banco de dados e, de acordo com a própria literatura da Oracle, mesmo os log das ações dos usuários privilegiados, são, portanto, "praticamente inúteis". Aparentemente, um usuário SYSDBA / SYSOPER pode temporariamente desativar o sistema de auditoria, realizar algumas operações, e então, reativar a função.
Para conseguir o intuito, o especialista em segurança usou o utilitário oradebug, que faz parte de cada instalação do Oracle. O recurso de auditoria é projetado para assegurar que as ações de banco de dados são documentadas de forma confiável, que permite que qualquer alteração seja traçada.
O utilitário oradebug tem comandos como poke, uma instrução que foi utilizado para alterar o conteúdo da memória em BASIC. Tóth disse que o comando pode ser usado para desativar a auditoria para os usuários do sistema, como SYSDBA e SYSOPER. O especialista explicou que o único pré-requisito é que o atacante deve ser capaz de executar oradebug - isto pode ser conseguido através do privilégio SYSDBA que, como Tóth também demonstrou em sua apresentação, podem ser facilmente obtido por qualquer administrador de banco de dados.
Para desativar o recurso de auditoria, um atacante pode usar uma instrução SQL simples, para recuperar o endereço de memória de uma variável do sistema interno da table X$KSMFSV. Este endereço é então colocado em zero:
SQL> oradebug poke 0×60031bb0 1 0
BEFORE: [060031BB0, 060031BB4) = 00000001
AFTER: [060031BB0, 060031BB4) = 00000000
Alexander Kornbrust, especialista em segurança da Oracle, pensa que produtos como o Oracle Audit Vault, que são baseados em funções de auditoria de banco de dados e, de acordo com a própria literatura da Oracle, mesmo os log das ações dos usuários privilegiados, são, portanto, "praticamente inúteis". Aparentemente, um usuário SYSDBA / SYSOPER pode temporariamente desativar o sistema de auditoria, realizar algumas operações, e então, reativar a função.
Mais informações em:
Hacktivity https://hacktivity.com/en/hacktivity-2011/
Método para Desabilitar Auditorias http://soonerorlater.hu/download/hacktivity_lt_2011_en.pdf
Oracle Audit Vault http://www.oracle.com/technetwork/da...iew/index.html
Créditos: Under Linux
Nenhum comentário:
Postar um comentário