L'escalation dei privilegi è un metodo comunemente utilizzato dagli aggressori per creare catastrofiche violazioni dei dati. Ecco cosa c'è da sapere su questa tecnica di attacco.
L'escalation dei privilegi è una tecnica utilizzata dagli aggressori per ottenere l'accesso non autorizzato ad account privilegiati, che possono essere utilizzati per distribuire malware e condurre altre attività dannose. In genere inizia quando un aggressore ottiene l'accesso alla rete aziendale appropriandosi di un account utente standard. Una volta dentro, si fa strada fino a diventare amministratore, superutente e altri host e account di alto livello.
L'escalation verticale dei privilegi o elevazione dei privilegi si verifica quando un aggressore passa da un livello di privilegio inferiore a uno superiore. Ad esempio, un utente normale ottiene diritti amministrativi. Questa tecnica consente di accedere a funzioni di sistema protette e a dati sensibili, aumentando il danno potenziale.
L'escalation orizzontale dei privilegi comporta l'accesso a privilegi o risorse di livello peer di un altro utente con livelli di accesso simili. Questa tecnica consente agli aggressori di accedere o manipolare i dati o i servizi di un altro utente senza autorizzazione.
Si verifica quando un aggressore con diritti di accesso limitati, come un utente normale, sfrutta le vulnerabilità per ottenere privilegi di livello superiore, come l'accesso amministrativo o di root. Questa è la forma più comune di escalation dei privilegi e può comportare rischi significativi per la sicurezza.
Inquesto caso, un aggressore si muove lateralmente all'interno di un sistema, ottenendo l'accesso alle risorse o agli account di altri utenti che hanno diritti di accesso simili. Sebbene l'escalation orizzontale non comporti l'aumento dei privilegi, consente agli aggressori di sfruttare altri account o dati.
Gli aggressori iniziano entrando in un sistema con i privilegi di base dell'utente. Lo fanno attraverso metodi come phishing, dove comunicazioni ingannevoli inducono gli utenti a rivelare le credenziali; sfruttando le vulnerabilità di software o sistemi che non sono stati adeguatamente protetti; oppure utilizzando credenziali predefinite che non sono mai state modificate dopo l'installazione. L'obiettivo principale in questa fase è stabilire un punto d'appoggio all'interno del sistema, creando una piattaforma da cui lanciare ulteriori attacchi.
Una volta entrati nel sistema, gli aggressori si dedicano all'enumerazione e alla ricognizione del sistema per raccogliere informazioni dettagliate sull'ambiente. Raccolgono dati sull'architettura del sistema, sulle versioni del sistema operativo, sulle applicazioni installate, sui servizi in esecuzione e sugli account utente esistenti. Questa raccolta di informazioni è facilitata da strumenti come utility a riga di comando, script di sistema e strumenti di scansione della rete, che aiutano a mappare la struttura del sistema e a identificare potenziali obiettivi da sfruttare.
Con una conoscenza completa del sistema, gli aggressori procedono a identificare le vulnerabilità che possono essere sfruttate per aumentare i propri privilegi. Cercano le vulnerabilità del software, come i bug non patchati o le falle con exploit noti. Vengono anche ricercate debolezze di configurazione, tra cui servizi mal configurati, permessi di file non sicuri che consentono l'accesso non autorizzato o impostazioni predefinite che non sono state adeguatamente protette. Inoltre, vengono valutati i problemi relativi alle credenziali, come password deboli facili da indovinare o da craccare, credenziali riutilizzate su più sistemi o token di autenticazione esposti che possono essere intercettati.
Per sfruttare le vulnerabilità identificate, gli aggressori utilizzano varie tecniche di sfruttamento. Quando sfruttano le vulnerabilità del software, possono eseguire buffer overflow iniettando codice in un programma attraverso il superamento del limite di un buffer, oppure effettuare code injection inserendo codice dannoso in applicazioni affidabili. L'abuso di configurazioni errate è un'altra tattica; gli aggressori potrebbero sfruttare permessi di file insicuri per accedere o modificare i file a causa di impostazioni improprie dei permessi, oppure sfruttare l'abuso di SUID/SGID sui sistemi Unix/Linux sfruttando i file che vengono eseguiti con privilegi più elevati.
Il furto di credenziali è un metodo critico utilizzato per ottenere un accesso non autorizzato. Gli aggressori potrebbero impegnarsi nel dumping degli hash delle password, estraendo gli hash delle password dalla memoria di sistema o dai file per decifrarli offline. Un'altra tecnica è il keylogging, che consiste nel registrare i tasti premuti per catturare password e altre informazioni sensibili. Per aggirare i controlli di sicurezza, gli aggressori possono manipolare i token, utilizzando quelli rubati per impersonare utenti con privilegi superiori. Sui sistemi Windows, potrebbero eseguire l'hijacking di DLL sostituendo file di Dynamic Link Library (DLL) legittimi con altri dannosi per eseguire codice con privilegi elevati. Sfruttando le debolezze del Controllo dell'account utente (UAC), possono eseguire attività amministrative senza richiedere l'intervento dell'utente, aggirando di fatto una funzione di sicurezza fondamentale.
Armati di queste tecniche, gli aggressori mirano a ottenere privilegi elevati all'interno del sistema. Eseguono gli exploit eseguendo script o strumenti specializzati progettati per sfruttare le vulnerabilità identificate. L'implementazione di payload per l'escalation dei privilegi comporta l'introduzione di malware specificamente realizzato per l'escalation dei privilegi al momento dell'esecuzione. Lo sfruttamento dei servizi è un'altra strada, in cui gli aggressori prendono di mira i servizi in esecuzione con privilegi più elevati, manipolandoli per eseguire codice arbitrario che garantisce loro maggiori diritti di accesso.
Dopo aver ottenuto l'escalation dei privilegi, gli aggressori si impegnano in attività di post-exploitation per consolidare il loro controllo e prepararsi a ulteriori operazioni. Per mantenere l'accesso, possono creare backdoor installando metodi persistenti che consentono loro di rientrare nel sistema anche dopo i riavvii o gli aggiornamenti di sicurezza. L'aggiunta di nuovi account utente con privilegi amministrativi garantisce l'accesso continuo senza dover ricorrere all'exploit iniziale.
Coprire le proprie tracce è essenziale per evitare di essere scoperti. Gli aggressori manipolano i registri cancellando o alterando i record degli eventi per nascondere le prove delle loro attività. Possono anche modificare i timestamp dei file per impedire agli analisti forensi di identificare le anomalie durante le indagini. Con privilegi elevati, gli aggressori possono eseguire movimenti laterali all'interno della rete. La propagazione della rete comporta l'utilizzo del loro accesso per infiltrarsi in altri sistemi connessi alla rete, ampliando la loro portata e il loro potenziale impatto. Gli aggressori sfruttano le credenziali ottenute per infiltrarsi in altre risorse, un processo noto come riutilizzo delle credenziali, che consente loro di compromettere più account e sistemi senza destare sospetti immediati.
Gli aggressori utilizzano tecniche di escalation dei privilegi per ottenere l'accesso non autorizzato a livelli più elevati di autorizzazioni all'interno di un sistema o di una rete. Elevando i propri privilegi, gli aggressori possono eseguire azioni normalmente limitate, come l'accesso a dati sensibili, l'installazione di malware, l'alterazione delle configurazioni di sistema o il controllo completo di un sistema. Capire perché gli aggressori utilizzano queste tecniche è fondamentale per implementare misure di sicurezza efficaci.
Di seguito sono riportati i motivi e i metodi principali alla base dell'utilizzo dell'escalation dei privilegi da parte degli aggressori:
La maggior parte delle organizzazioni utilizza una combinazione di misure di sicurezza per prevenire gli attacchi di privilege escalation. Zero trust, gestione delle identità e degli accessi (IAM) e gestione degli accessi privilegiati (PAM) sono tutti esempi comuni.
Ma questi approcci presentano un problema: Si basano tutti su un unico punto di accesso. Inoltre, la maggior parte delle organizzazioni ha 3 volte più account privilegiati che dipendenti, il che rende impossibile gestirli tutti. E una volta concesso l'accesso, questo può essere facilmente manipolato.
Per evitare l'escalation dei privilegi, la visibilità continua è fondamentale. Il monitoraggio e l'analisi costanti dell'attività degli account consentono di identificare gli abusi in tempo reale. E l'unico modo per farlo con precisione è l'intelligenza artificiale.
È qui che entrano in gioco il rilevamento e la risposta alle minacce estesi. Vectra AI utilizza decine di rilevamenti basati sull'intelligenza artificiale per identificare le attività anomale legate ai privilegi nella rete, nell'identità e nel pubblico cloud. Questi rilevamenti non si concentrano sulle anomalie, ma piuttosto sui comportamenti effettivi degli aggressori. Dalle richieste insolite su AWS e Entra ID alle richieste di servizio sospette, ognuna di esse viene automaticamente correlata, analizzata, convalidata e gestita per mostrare ai difensori quando gli aggressori stanno tentando di utilizzare l'escalation dei privilegi.