Scoprite le lacune della vostra Microsoft Identity Security.
Prenotate oggi stesso un'analisi del gap di esposizione all'identità.
Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecnica di attacco

Escalation dei privilegi

L'escalation dei privilegi è un metodo comunemente utilizzato dagli aggressori per creare catastrofiche violazioni dei dati. Ecco cosa c'è da sapere su questa tecnica di attacco.

Definizione
Come funziona
Perché gli aggressori lo usano
Rilevamento
DOMANDE FREQUENTI
Definizione

Che cos'è l'escalation dei privilegi?

L'escalation dei privilegi è una tecnica utilizzata dagli aggressori per ottenere l'accesso non autorizzato ad account privilegiati, che possono essere utilizzati per distribuire malware e condurre altre attività dannose. In genere inizia quando un aggressore ottiene l'accesso alla rete aziendale appropriandosi di un account utente standard. Una volta dentro, si fa strada fino a diventare amministratore, superutente e altri host e account di alto livello.

Tipi di escalation dei privilegi

Escalation verticale dei privilegi (elevazione dei privilegi)

L'escalation verticale dei privilegi o elevazione dei privilegi si verifica quando un aggressore passa da un livello di privilegio inferiore a uno superiore. Ad esempio, un utente normale ottiene diritti amministrativi. Questa tecnica consente di accedere a funzioni di sistema protette e a dati sensibili, aumentando il danno potenziale.

Escalation orizzontale dei privilegi

L'escalation orizzontale dei privilegi comporta l'accesso a privilegi o risorse di livello peer di un altro utente con livelli di accesso simili. Questa tecnica consente agli aggressori di accedere o manipolare i dati o i servizi di un altro utente senza autorizzazione.

Come funziona

Come funziona l'escalation dei privilegi?

Escalation verticale dei privilegi

Si verifica quando un aggressore con diritti di accesso limitati, come un utente normale, sfrutta le vulnerabilità per ottenere privilegi di livello superiore, come l'accesso amministrativo o di root. Questa è la forma più comune di escalation dei privilegi e può comportare rischi significativi per la sicurezza.

Il processo di escalation verticale dei privilegi

Escalation orizzontale dei privilegi

Inquesto caso, un aggressore si muove lateralmente all'interno di un sistema, ottenendo l'accesso alle risorse o agli account di altri utenti che hanno diritti di accesso simili. Sebbene l'escalation orizzontale non comporti l'aumento dei privilegi, consente agli aggressori di sfruttare altri account o dati.

Il processo di escalation orizzontale dei privilegi

Come procedono gli aggressori per aumentare i privilegi?

1. Acquisizione dell'accesso iniziale

Gli aggressori iniziano entrando in un sistema con i privilegi di base dell'utente. Lo fanno attraverso metodi come phishing, dove comunicazioni ingannevoli inducono gli utenti a rivelare le credenziali; sfruttando le vulnerabilità di software o sistemi che non sono stati adeguatamente protetti; oppure utilizzando credenziali predefinite che non sono mai state modificate dopo l'installazione. L'obiettivo principale in questa fase è stabilire un punto d'appoggio all'interno del sistema, creando una piattaforma da cui lanciare ulteriori attacchi.

2. Enumerazione e ricognizione del sistema

Una volta entrati nel sistema, gli aggressori si dedicano all'enumerazione e alla ricognizione del sistema per raccogliere informazioni dettagliate sull'ambiente. Raccolgono dati sull'architettura del sistema, sulle versioni del sistema operativo, sulle applicazioni installate, sui servizi in esecuzione e sugli account utente esistenti. Questa raccolta di informazioni è facilitata da strumenti come utility a riga di comando, script di sistema e strumenti di scansione della rete, che aiutano a mappare la struttura del sistema e a identificare potenziali obiettivi da sfruttare.

3. Identificazione delle vulnerabilità

Con una conoscenza completa del sistema, gli aggressori procedono a identificare le vulnerabilità che possono essere sfruttate per aumentare i propri privilegi. Cercano le vulnerabilità del software, come i bug non patchati o le falle con exploit noti. Vengono anche ricercate debolezze di configurazione, tra cui servizi mal configurati, permessi di file non sicuri che consentono l'accesso non autorizzato o impostazioni predefinite che non sono state adeguatamente protette. Inoltre, vengono valutati i problemi relativi alle credenziali, come password deboli facili da indovinare o da craccare, credenziali riutilizzate su più sistemi o token di autenticazione esposti che possono essere intercettati.

4. Tecniche di sfruttamento

Per sfruttare le vulnerabilità identificate, gli aggressori utilizzano varie tecniche di sfruttamento. Quando sfruttano le vulnerabilità del software, possono eseguire buffer overflow iniettando codice in un programma attraverso il superamento del limite di un buffer, oppure effettuare code injection inserendo codice dannoso in applicazioni affidabili. L'abuso di configurazioni errate è un'altra tattica; gli aggressori potrebbero sfruttare permessi di file insicuri per accedere o modificare i file a causa di impostazioni improprie dei permessi, oppure sfruttare l'abuso di SUID/SGID sui sistemi Unix/Linux sfruttando i file che vengono eseguiti con privilegi più elevati.

Il furto di credenziali è un metodo critico utilizzato per ottenere un accesso non autorizzato. Gli aggressori potrebbero impegnarsi nel dumping degli hash delle password, estraendo gli hash delle password dalla memoria di sistema o dai file per decifrarli offline. Un'altra tecnica è il keylogging, che consiste nel registrare i tasti premuti per catturare password e altre informazioni sensibili. Per aggirare i controlli di sicurezza, gli aggressori possono manipolare i token, utilizzando quelli rubati per impersonare utenti con privilegi superiori. Sui sistemi Windows, potrebbero eseguire l'hijacking di DLL sostituendo file di Dynamic Link Library (DLL) legittimi con altri dannosi per eseguire codice con privilegi elevati. Sfruttando le debolezze del Controllo dell'account utente (UAC), possono eseguire attività amministrative senza richiedere l'intervento dell'utente, aggirando di fatto una funzione di sicurezza fondamentale.

5. Ottenere privilegi elevati

Armati di queste tecniche, gli aggressori mirano a ottenere privilegi elevati all'interno del sistema. Eseguono gli exploit eseguendo script o strumenti specializzati progettati per sfruttare le vulnerabilità identificate. L'implementazione di payload per l'escalation dei privilegi comporta l'introduzione di malware specificamente realizzato per l'escalation dei privilegi al momento dell'esecuzione. Lo sfruttamento dei servizi è un'altra strada, in cui gli aggressori prendono di mira i servizi in esecuzione con privilegi più elevati, manipolandoli per eseguire codice arbitrario che garantisce loro maggiori diritti di accesso.

6. Attività post-sfruttamento

Dopo aver ottenuto l'escalation dei privilegi, gli aggressori si impegnano in attività di post-exploitation per consolidare il loro controllo e prepararsi a ulteriori operazioni. Per mantenere l'accesso, possono creare backdoor installando metodi persistenti che consentono loro di rientrare nel sistema anche dopo i riavvii o gli aggiornamenti di sicurezza. L'aggiunta di nuovi account utente con privilegi amministrativi garantisce l'accesso continuo senza dover ricorrere all'exploit iniziale.

Coprire le proprie tracce è essenziale per evitare di essere scoperti. Gli aggressori manipolano i registri cancellando o alterando i record degli eventi per nascondere le prove delle loro attività. Possono anche modificare i timestamp dei file per impedire agli analisti forensi di identificare le anomalie durante le indagini. Con privilegi elevati, gli aggressori possono eseguire movimenti laterali all'interno della rete. La propagazione della rete comporta l'utilizzo del loro accesso per infiltrarsi in altri sistemi connessi alla rete, ampliando la loro portata e il loro potenziale impatto. Gli aggressori sfruttano le credenziali ottenute per infiltrarsi in altre risorse, un processo noto come riutilizzo delle credenziali, che consente loro di compromettere più account e sistemi senza destare sospetti immediati.

Processo di escalation dei privilegi dell'hacker
Perché gli aggressori lo usano

Perché gli aggressori utilizzano l'escalation dei privilegi?

Gli aggressori utilizzano tecniche di escalation dei privilegi per ottenere l'accesso non autorizzato a livelli più elevati di autorizzazioni all'interno di un sistema o di una rete. Elevando i propri privilegi, gli aggressori possono eseguire azioni normalmente limitate, come l'accesso a dati sensibili, l'installazione di malware, l'alterazione delle configurazioni di sistema o il controllo completo di un sistema. Capire perché gli aggressori utilizzano queste tecniche è fondamentale per implementare misure di sicurezza efficaci.

Di seguito sono riportati i motivi e i metodi principali alla base dell'utilizzo dell'escalation dei privilegi da parte degli aggressori:

Accesso ai dati sensibili

  • Informazioni riservate: I privilegi elevati consentono agli aggressori di accedere a file, database e comunicazioni sensibili che sono riservati agli utenti regolari.
  • Esfiltrazione dei dati: Gli aggressori possono rubare dati preziosi come identità personali, dati finanziari o informazioni aziendali proprietarie.

Controllo e persistenza del sistema

  • Mantenimento dell'accesso: Con privilegi più elevati, gli aggressori possono creare backdoor, nuovi account utente o modificare i meccanismi di autenticazione per mantenere l'accesso a lungo termine.
  • Disabilitazione delle misure di sicurezza: Possono disattivare il software antivirus, i firewall o i sistemi di rilevamento delle intrusioni per evitare di essere scoperti.

Movimento laterale all'interno delle reti

  • Ampliamento della portata: L'escalation dei privilegi consente agli aggressori di muoversi tra diversi sistemi e segmenti di rete, aumentando la portata del loro attacco.
  • Compromissione di altri sistemi: L'accesso alle credenziali amministrative consente agli aggressori di infiltrarsi in altri dispositivi e server della rete.

Esecuzione di attacchi avanzati

  • Installazione di Malware o Ransomware: spesso sono richiesti privilegi più elevati per installare o eseguire software dannoso che può criptare i dati o interrompere le operazioni.
  • Manipolazione del sistema: Gli aggressori possono alterare le configurazioni, le programmazioni o i servizi del sistema a vantaggio dei loro obiettivi.

Bypassare le restrizioni di sicurezza

  • Superamento dei permessi: I privilegi elevati consentono agli aggressori di aggirare le autorizzazioni del file system e i controlli di accesso.
  • Accesso alle funzioni riservate: Possono eseguire azioni normalmente limitate agli amministratori, come la modifica dei registri di audit.

Raccolta di credenziali

  • Raccolta di password e token: Gli aggressori possono estrarre le credenziali dalla memoria, dai file di configurazione o dai portachiavi.
  • Estrazione del biglietto Kerberos: Possono utilizzare tecniche come Pass-the-Hash o Kerberoasting per ottenere i token di autenticazione.

Interruzione e sabotaggio

  • Negazione del servizio (DoS): Gli aggressori possono bloccare servizi critici o sovraccaricare le risorse del sistema.
  • Manipolazione o distruzione dei dati: Possono alterare o cancellare i dati, causando problemi operativi o perdita di fiducia.

Guadagno finanziario

  • Furto di denaro: L'accesso ai sistemi finanziari consente agli aggressori di manipolare le transazioni o deviare i fondi.
  • Richieste di riscatto: Possono criptare i dati e chiedere il pagamento delle chiavi di decriptazione.

Copertura delle tracce

  • Manomissione dei registri: Con privilegi più elevati, gli aggressori possono cancellare o alterare i registri per nascondere le loro attività.
  • Disabilitare gli strumenti di monitoraggio: Possono disattivare o interferire con le soluzioni di monitoraggio della sicurezza.
Rilevamenti della piattaforma

Come rilevare le attività relative all'escalation dei privilegi

La maggior parte delle organizzazioni utilizza una combinazione di misure di sicurezza per prevenire gli attacchi di privilege escalation. Zero trust, gestione delle identità e degli accessi (IAM) e gestione degli accessi privilegiati (PAM) sono tutti esempi comuni.

Ma questi approcci presentano un problema: Si basano tutti su un unico punto di accesso. Inoltre, la maggior parte delle organizzazioni ha 3 volte più account privilegiati che dipendenti, il che rende impossibile gestirli tutti. E una volta concesso l'accesso, questo può essere facilmente manipolato. 

Per evitare l'escalation dei privilegi, la visibilità continua è fondamentale. Il monitoraggio e l'analisi costanti dell'attività degli account consentono di identificare gli abusi in tempo reale. E l'unico modo per farlo con precisione è l'intelligenza artificiale. 

È qui che entrano in gioco il rilevamento e la risposta alle minacce estesi. Vectra AI utilizza decine di rilevamenti basati sull'intelligenza artificiale per identificare le attività anomale legate ai privilegi nella rete, nell'identità e nel pubblico cloud. Questi rilevamenti non si concentrano sulle anomalie, ma piuttosto sui comportamenti effettivi degli aggressori. Dalle richieste insolite su AWS e Entra ID alle richieste di servizio sospette, ognuna di esse viene automaticamente correlata, analizzata, convalidata e gestita per mostrare ai difensori quando gli aggressori stanno tentando di utilizzare l'escalation dei privilegi.

Rilevamento
Anomalia dei privilegi: host insolito
Per saperne di più
Rilevamento
Anomalia del privilegio: Trio insolito
Per saperne di più
Rilevamento
Anomalia dei privilegi: servizio insolito
Per saperne di più
Rilevamento
Anomalia dei privilegi: account insolito sull'host
Per saperne di più
Rilevamento
Anomalia dei privilegi: servizio insolito - Insider
Per saperne di più
Rilevamento
Anomalia dei privilegi: servizio insolito da parte dell'host
Per saperne di più
Rilevamento
Escalation dei privilegi sospetta in AWS
Per saperne di più
Rilevamento
Anomalia nel funzionamento dei privilegi di Azure AD
Per saperne di più
Rilevamento
Concessione di privilegi all'amministratore sospetto di AWS
Per saperne di più
Esplora tutti i rilevamenti

Proteggete i vostri account privilegiati con rilevamenti avanzati

L'escalation dei privilegi è solo uno dei modi in cui gli aggressori moderni cercano di superare in astuzia i vostri strumenti di prevenzione. I nostri potenti rilevamenti basati sull'intelligenza artificiale sono progettati per individuare qualsiasi minaccia in base ai comportamenti degli aggressori, coprendo il 90% delle tecniche rilevanti MITRE ATT&CK .

Esplora la piattaforma
Per saperne di più

DOMANDE FREQUENTI