Tuesday, April 06, 2010

BeyondTrust Report on Removing Administrator: Correct?

Last week BeyondTrust published a report titled BeyondTrust 2009 Microsoft Vulnerability Analysis. The report offers several interesting conclusions:

[R]emoving administrator rights will better protect companies against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploitation of:

  • 90% of critical Windows 7 vulnerabilities reported to date

  • 100% of Microsoft Office vulnerabilities reported in 2009

  • 94% of Internet Explorer and 100% of Internet Explorer 8 vulnerabilities reported in 2009

  • 64% of all Microsoft vulnerabilities reported in 2009


Initially I was pleased to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results. Then I read BeyondTrust's methodology.

This report uses information found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual Security Bulletins to classify vulnerabilities by Severity Rating, Vulnerability Impact, Affected Software, as well as to determine if removing administrator rights will mitigate a vulnerability. A vulnerability is considered mitigated by removing administrator rights if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following sentence is located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Bulletin’s Mitigating Factors section

Users whose accounts are configured to have fewer user rights on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system could be less impacted than users who operate with administrative user rights.
(emphasis added)

"Could be less impacted?" In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, BeyondTrust didn't do any testing. They just read Microsoft vulnerability reports, checked for that sentence, and published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. I would be more comfortable with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir conclusions if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y conducted exploitation tests against suitable targets to determine if administrator rights made a difference or not.

This doesn't necessarily mean BeyondTrust is wrong. Removing administrator rights does help reduce exposures, but testing is required against modern exploitation methods to determine just how effective that countermeasure is.

8 comments:

krycheq said...

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys on pauldotcom were ranting about this a few weeks ago in relation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aurora attacks... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y came to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion that someone at Microsoft wrote automation that changes all instances of "will" to "could".

I would ask; when did it become acceptable to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inmates run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asylum... even to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where BeyondTrust just statistically summarizes Microsoft's own finding?

I used to see this bumper sticker on cars now and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that said "Question Authority"... I haven't seen one of those in a long time.

Unknown said...

In general I am in agreement with limiting user admin-rights to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workstations. However in practice I find this very problematic. Sadly this is not due to users complaining, it is due to poorly written software that requires a user to have a certain level of access to operate correctly. I know your response; 'don't use that software'. Well that is just as an idealist idea as expecting users to know better than to blindly click 'ok' on every dialog box cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see.

lostzero said...

http://www.scriptlogic.com/products/privilegeauthority/

Chris Blunt (Axenic) said...

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend and initially I was hopeful that I would be able to direct some of my clients to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report to encourage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to remove local administrator rights from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir users. However, when I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology it quickly dawned on me that I couldn’t use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information present. I guess we should be happy that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology was published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. I wonder how many people actually read and understood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology used on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results?

Clearly BeyondTrust has an interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir study as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y sell a solution to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue highlighted by Coreigh. It would be interesting for someone independent to repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inclusion of exploitation testing to verify whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removal of admin rights is actually an effective countermeasure or not.

Andrew said...

Try Privilege Guard from Avecto Ltd www.avecto.com. Its technically better than Beyondtrust and 1/2 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price. I had a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script logic free stuff and its pretty basic, you couldn't use it in a corporate enviroment.

gih said...

Administrator can be removed if it is not fair in administering such system.

Anonymous said...

I conducted a 60 day pilot to see how feasible it was for a team of IT XP users (approx 50) to operate with only basic or power user privileges. Out of approximately 20 issues identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was maybe 2-3 which required vendor response. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems involved users not following proper instructions for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 established workaround to temporarily escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir privilege for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 required task. Cached session credentials was a big issue as well as users trying to secretly get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir privileges elevated (detected by a script and auditing). Supervisor was pleasantly surpised when her attempt to install unauthorized software failed.

It's plausible but takes alot of planning and a BIG stick!

Derek Melber, MVP said...

There is nothing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BeyondTrust report that states that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did any testing... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y clearly summarized what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects are when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is a local admin, with regard to vulnerabilities. That is pretty clear, simple, and non-debatable.

From an admin/security/corporation standpoint, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no question that eliminating local admin rights for end users (and even using UAC on Windows 7 for Admins/developers/helpdesk) will reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall viruses, malware, adware, etc on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se computers. Then, combine Windows 7 UAC with BeyondTrust Privilege Manager and you have a perfect solution for solving LUA in a corporate environment.

Yes, Avecto has a solution as well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution is not as proven as that by BeyondTrust (Privilege Manager has been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market for over 5 years), it is more complex to use, and in many cases is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same cost or more expensive. Regardless, everyone should test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two solutions side-by-side when it comes time to eliminate local admin rights.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, I really don't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall point of bashing a report, which is clearly "on point" when it comes to local admin privileges for standard users. You might not like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no debate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material is correct and accurately summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of users being local admins!