G 5.122 Missbrauch von RACF-Attributen unter z/OS

Im z/OS-Sicherheitssystem RACF sind die Attribute SPECIAL, OPERATIONS und AUDITOR mit besonders hohen Berechtigungen ausgestattet.

Attribut SPECIAL

Die Kennung mit dem Attribut SPECIAL ist für die Administration des Sicherheitssystems RACF erforderlich. Der Besitzer dieses Attributs verfügt über die Möglichkeit, im RACF Einstellungen zu ändern. Er gibt beispielsweise den Benutzern den Zugriff auf Systemressourcen und Dateien frei. Der Inhaber der Berechtigung kann sich selbst auf sämtliche Ressourcen und Dateien des Systems Rechte vergeben. Er kann auch die im Weiteren aufgeführten Attribute an alle Benutzerkennungen vergeben.

Eine mögliche Schwachstelle besteht beim Einsatz von Systemmonitoren, die über hoch autorisierte Programmteile ihre eigene Kennung mit dem Attribut SPECIAL versehen können. Anwender mit Zugang zu den Systemmonitoren können dies - bei entsprechenden RACF-Rechten - ausnutzen, um ihre eigene Kennung mit höheren Zugriffsrechten zu versehen.

Attribut OPERATIONS

Die Kennung mit dem Attribut OPERATIONS wird hauptsächlich für das Space-Management im z/OS-System angefordert. Es beinhaltet die Rechte zum Kopieren, Lesen, Löschen oder Neuanlagen von Dateien, ohne dass ein explizites Recht für die Datei und die Benutzerkennung vergeben wurde. Dies ermöglicht es prinzipiell einem Anwender, das Attribut OPERATIONS für unbefugte Datenzugriffe zu missbrauchen.

Attribut AUDITOR

Auditoren sollen sicherheitsrelevante Ereignisse erkennen, nachvollziehen und überprüfen können. Änderungen an RACF-Definitionen sind mit dieser Berechtigung nur für audit-relevante Definitionen möglich (im Gegensatz zu SPECIAL), d. h. höhere Autorisierungen lassen sich damit nicht erreichen. Allerdings birgt das Attribut AUDITOR die Gefahr, dass umfassende Informationen, z. B. sämtliche RACF-Einstellungen, über das System ausgespäht werden können.

Beispiele: