La herramienta SQL Server 2019 le dice a los atacantes qué datos son …



El diseño de SQL Knowledge Discovery & Classification podría permitir a los atacantes identificar información confidencial mientras vuelan bajo los radares de las organizaciones.

SQL Info Discovery & Classification, una herramienta dentro del SQL Server 2019 de Microsoft, podría informar a los atacantes qué datos dentro de una base de datos están etiquetados como sensibles y cuáles no, según informan los investigadores.

El ingeniero de investigación de seguridad de Imperva, Avidan Reich, enfatiza que esta herramienta no les otorga a los atacantes acceso a datos confidenciales, ni tampoco encuentra una vulnerabilidad en SQL Server 2019. Por el contrario, la investigación revela un problema de seguridad que existe en la forma en que SQL Details Discovery & Classification está diseñado para trabajo.

Esta herramienta está integrada en SQL Server Administration Studio (SSMS) para permitir a los usuarios detectar, clasificar e informar datos confidenciales almacenados en sus bases de datos. El motor de clasificación primero escanea una base de datos e identifica qué columnas contienen información potencialmente confidencial. A partir de ahí, la herramienta ofrece a los empleados una forma más sencilla de aplicar recomendaciones de clasificación y clasificar columnas manualmente, ya sea mediante la GUI de SSMS o mediante las declaraciones SQL «Agregar clasificación de sensibilidad».

Cuando se determina el estado de clasificación de los datos, se agrega al registro de auditoría para que los empleados puedan monitorear mejor el acceso a la información confidencial para el cumplimiento y la auditoría, explica Reich.

Hay herramientas diseñadas para completar este proceso fuera de la base de datos, señala en un entrada en el site en sus hallazgos. El principio de «segregación de deberes» aconseja la mejor práctica de brindar solo a los administradores de bases de datos las herramientas que necesitan para hacer su trabajo: diseñar bases de datos, administrar la foundation de datos y monitorear su uso y rendimiento. La concept detrás de este principio es separar las responsabilidades para que ningún empleado tenga acceso a demasiada información confidencial.

Si las organizaciones se adhieren a la segregación de funciones, esto significa que solo el individual de seguridad realizará una clasificación, explica. El propietario de una aplicación revisaría y etiquetaría los datos confidenciales un experto en seguridad aplicaría los controles apropiados. Si se realiza un análisis fuera de la foundation de datos, el administrador no está involucrado y no tiene la oportunidad de clasificar los datos.

El problema que encontró Reich con el descubrimiento y clasificación de datos SQL es que muestra dónde se almacena la información confidencial etiquetándola dentro de la base de datos. Esto facilita que una información privilegiada maliciosa, o un empleado cuyas credenciales se hayan visto comprometidas, descubra qué columnas de la foundation de datos contienen datos confidenciales y luego acceda a ellos, explica Reich. Solo necesitarían el permiso «ver cualquier clasificación de sensibilidad» y una consulta simple.

«Para amenazas internas, como empleados malintencionados o empleados cuya seguridad se ha visto comprometida, sería muy fácil utilizar la salida de la herramienta para acceder a datos confidenciales bajo el radar de las herramientas de seguridad, como las soluciones de análisis de comportamiento», dice. Vale la pena señalar que los administradores de la foundation de datos y las cuentas utilizadas por las aplicaciones que se conectan a la foundation de datos generalmente pueden ver información no cifrada y cifrada.

«Sin el resultado de la herramienta, las amenazas internas tendrían que escanear todas las tablas de aplicaciones en busca de datos confidenciales, que es un enfoque ruidoso que puede desencadenar un incidente dentro de cualquier solución de seguridad de análisis de comportamiento», continúa Reich. Un atacante que puede determinar exactamente dónde se encuentran los datos valiosos puede omitir el paso adicional de escanear tablas de aplicaciones.

Un atacante que bloquee el permiso del servidor Command Server, o el permiso de la foundation de datos Alter, también podría actualizar los datos confidenciales con la etiqueta «Clasificación de sensibilidad de caída». Esto podría hacer que una columna practical no sea smart Al hacer esto, un atacante podría hacer que los datos sean accesibles bajo la supervisión de la actividad de datos y las herramientas de análisis de comportamiento.

Imperva compartió los detalles de sus hallazgos con Microsoft, que dice que el propósito de la herramienta es descubrir y ayudar a clasificar los datos. «Los hallazgos reportados no representan un riesgo de seguridad y no planeamos abordarlo con una actualización de seguridad», dijeron las autoridades en un correo electrónico a Darkish Looking through.

Si su empresa utiliza la herramienta SQL Data Discovery & Classification, Reich aconseja los siguientes pasos de mitigación:

  • Supervise el acceso a la vista de catálogo «sys (.) Sensibilidad_clasificaciones, que tiene la ubicación de los datos confidenciales.
  • Supervise las ejecuciones de la instrucción SQL «Clasificación de sensibilidad de caída», que elimina la etiqueta de clasificación.
  • Verifique que solo las cuentas autorizadas puedan ejecutar la instrucción SQL «Drop Sensitivity Classification».

Contenido relacionado:

Kelly Sheridan es la Editora de own de Dim Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance plan & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Más ideas





Enlace a la noticia original