viernes, mayo 11, 2012

Auditar la seguridad de SharePoint

Hoy que tenía un poco de tiempo, y mi maligno hermano me había pedido que revisara la seguridad de un SharePoint 2010 para una auditoría de seguridad, he estado revisando el informe de seguridad que fue presentado en la Hackcon 2011 y emitido por la consultora de servicios de seguridad Stach & Liu para la ISSA (Information System Security Associations), donde se recogen las principales preocupaciones respecto de la seguridad en tecnologías SharePoint, que os paso a describir:

1º- Conocer la superficie de exposición de SharePoint

Este punto es crucial. Saber que tienes un servidor de SharePoint de cara al exterior sin ser consciente de cuales son los puntos de exposición del mismo y así poder forticarlos es algo prioritario. Las principales amenazas en este apartado vienen principalmente por las búsquedas Google Hacking preguntando por rutas y páginas administrativas del portal - como por ejemplo: inurl:”/_catalogs/wt/” -, aunque lo más recomendable es utilizar herramientas automatizadas.

Dentro de estas herramientas hay que destacar la utilidad gratuíta Search Diggity, ofrecida por la citada consultora, que implementa lo que ha dado en denominar SharePoint Google Regext 109 Querys, o lo que es lo mismo 109 expresiones regulares a consultar en tecnologías SharePoint por rutas y archivos administrativos porporcionados por un diccionario de datos especialmente creado para SharePoint (SharePoint Google Dictionary), que  se carga desde el menú File=>Import Query Definition.

Figura 1: Search Diggity con módulo de SharePoint Google Hacks

2º- Ataques de fuerza bruta a URL’s de SharePoint

Consistente en la comprobación por fuerza bruta de los principales puntos de autenticación de SharePoint en busca de acceso. Stach & Liu proporciona otra herramienta para tal fin, denominada SharePointURLBrute, desarrollada en Perl, con un modulo ejecutable para Windows. Esta herramienta utiliza 89 extensiones conocidas para probar los ataques de fuerza bruta, a través del archivo proporcionado por la herramienta como diccionario de entrada (SharePoint-UrlExtensions-18Mar2012).

Figura 2: Ejecución de SharePointURLBrute sobre sitio de SharePoint 2010

3º- Escaner de vulnerabilidades para aplicaciones administrativas

En este apartado, se puede utilizar escáneres de vulnerabilidades y puertos tipo nmap para la búsqueda de cualquier aplicación administrativa que funcione sobre SharePoint, tales como la Consola de Administración Central de SharePoint, Proveedores de Servicios Compartidos (2007), etc...

Esto es algo que Juan Garrido y Chema Alonso ya explicaban muy bien en la parte de auditoría y pentesting de SharePoint en el libro que escribimos los tres dedicado a SharePoint 2010: Seguridad.

4º- Control de Prevención de fuga de información (Data Loss Prevention)

Aquí se hace crucial controlar la fuga de información sensible de nuestros servidores web SharePoint, con herramientas como MetaShield Protector. Ademas, recurriendo a técnicas de Google Hacking mencionadas anteriormente, podemos encontrar información de cuentas de usuario, correos, puestos de trabajo.

Hay que tener especial cuidado sobre todo en aquellas implantaciones de SharePoint que tengan muy socializada la red con la aplicación de servicio de perfiles de usuario en funcionamiento, ya que se pueden realizar búsquedas a la pagina /_layouts/UserDisp.aspx (inurl:”/_layouts/userdisp.aspx”), para identificar información de los citados perfiles.

Figura 3: Localización de perfil de usuario de cara al exterior

5º-Usuarios con privilegios de acceso excesivos

Este es uno de los mayores retos de los administradores de SharePoint. Grupos de usuario de SharePoint existentes, niveles de permisos y usuarios/grupos/listas de distribución de Windows conviviendo en una laberíntica implementación de sitios y subsitios con una jerarquía de seguridad heredada (¿o no?), hacen que se pierda control sobre los privilegios de acceso de los usuarios de una organización y más dificil de controlar la seguridad a establecer.

Estos privilegios de acceso pueden estar establecidos sin control alguno sobre determinados servicios web disponibles en SharePoint, tales como Admin.asmx o Permissions.asmx. Búsquedas mediante Google Hacking a ubicaciones “/vti_bin/” y “/vti_adm/” facilitan la localización de sitios de SharePoint con servicios web publicados de cara al exterior y posibilitan un posible acceso de usuarios con privilegios de acceso excesivos.

Figura 4: Informes de seguridad generados por Sushi

En este apartado, podéis utilizar aplicación gratuita llamada Sushi disponible en Codeplex, que, entre otras cosas, nos va a permitir realizar informes de seguridad para identificar en todos los sitios y listas usuarios con acceso y con qué tipo de acceso.

6º- Soluciones desarrolladas por 3ªs personas

Otro riesgo importante para la seguridad, en cuanto a estabilidad y disponibilidad se refiere es la cantidad de soluciones de desarrollo que admiten las tecnologías SharePoint, y que pueden provocar, si no estan programadas correctamente, la inestabilidad en el servidor. Características (features.xml), soluciones personalizadas (*.wsp), elementos web (*.dwp), flujos de trabajo, etcétera, son algunas de los componentes de desarrollo que se pueden incluir en SharePoint y que afectarán en mayor o menor medida al servidor.

El implementar a la ligera cualquier tipo de desarrollo externo, luego puede traducirse en características o webparts perdidas a la hora de migrar - al no haber compatibilidad de versiones, como pasó con las famosas 40 plantillas de aplicación en su momento -, como puede ser en migraciones de base de datos adjunta.

SharePoint 2010 ha avanzado algo en este sentido, al incluir el desarrollo de soluciones Sandbox, las cuales permiten la ejecución de forma segura de componentes de desarrollo sin penalizar un cierto despliegue de SharePoint en el caso de que no se hayan seguido las buenas prácticas a la hora de desarrollar dichos componentes, minimizando así el riesgo de plugins de terceros.

Figura 5: Despliegue de soluciones sandboxed

7º- Múltiples formas de realizar copias de seguridad

La conclusión del informe de la consultora Stach & Liu acaba indicando lo terrible que puede llegar a ser realizar copia de seguridad sobre entornos SharePoint, al disponer de multiples formas y métodos y a diferente nivel para la realización del mismo, listando algunas de las formas disponibles que son:
- Desde Windows Server 2003/2008/R2
- Utilidad Stsadm con comandos de Backup
- Copias de seguridad desde SharePoint Central Administration
- Copias de seguridad desde SharePoint Designer
- Copias de seguridad de plantillas de sitio y listas
- Copias de seguridad de bases de datos de SQL Server
Yo personalmente no veo esto un problema si conoces el funcionamiento de cada una de las herramientas disponibles, no siendo excluyentes la utilización de varias a conveniencia, como sería lógico, pero para eso se requiere un conocimiento profundo de qué contiene cada elemento, ya sea una base de datos o una plantilla de sitio.

Un saludo a todos.

Autor: Rubén Alonso
Blog: Punto Compartido
Autor del libro SharePoint 2010: Seguridad

2 comentarios:

  1. Aunque a veces subes tus "cosillas" y hay a gente que no le hace mucha ilusion jeje y lo demostraron ayer... (a mi tampoco me entusiasman las vinetas pero es tu blog personal...jejej) con este me has conquistado!! jejej mola el sharepoint! Muy bueno!

    ResponderEliminar
  2. Como siempre ... muy bueno!
    Gracias Chema por compartir

    Saludos

    ResponderEliminar