L'escalation dei privilegi è una tecnica comunemente utilizzata dagli hacker di oggi per causare gravi violazioni dei dati. Ecco cosa c'è da sapere su questa tecnica di attacco.
L'escalation dei privilegi è una tecnica utilizzata dagli hacker per ottenere l'accesso non autorizzato ad account con privilegi elevati, che possono essere utilizzati per distribuire malware compiere altre attività dannose. In genere, il processo ha inizio quando un hacker ottiene l'accesso alla rete aziendale assumendo il controllo di un account utente standard. Una volta all'interno, l'hacker si fa strada fino a raggiungere account e host di alto livello, quali quelli di amministratore o superutente.
Tipi di escalation dei privilegi
Escalation verticale dei privilegi (elevazione dei privilegi)
L'escalation verticale dei privilegi, o elevazione dei privilegi, si verifica quando un aggressore passa da un livello di privilegi inferiore a uno superiore. Ad esempio, quando un utente normale ottiene diritti amministrativi. Questa tecnica consente l'accesso a funzioni di sistema protette e a dati sensibili, aumentando il potenziale danno.
Escalation orizzontale dei privilegi
L'escalation orizzontale dei privilegi consiste nell'accedere a privilegi o risorse di un altro utente con livelli di accesso simili.Questa tecnica consente agli aggressori di accedere o manipolare i dati o i servizi di un altro utente senza autorizzazione.
Come funziona
Come funziona l'escalation dei privilegi?
Escalation verticale dei privilegi
Ciò si verifica quando un malintenzionato con diritti di accesso limitati, come un utente standard, sfrutta delle vulnerabilità per ottenere privilegi di livello superiore, quali l'accesso amministrativo o come root. Si tratta della forma più comune di escalation dei privilegi e può comportare rischi significativi per la sicurezza.
Escalation orizzontale dei privilegi
Inquesto caso, un aggressore si muove lateralmente all'interno di un sistema, ottenendo l'accesso a risorse o account di altri utenti che dispongono di diritti di accesso simili. Sebbene l'escalation orizzontale non comporti l'acquisizione di privilegi superiori, consente agli aggressori di sfruttare altri account o dati.
In che modo gli hacker procedono all'escalation dei privilegi?
1. Acquisizione dell'accesso iniziale
Gli hacker iniziano con l'acquisire l'accesso a un sistema con privilegi utente di base. Ciò avviene attraverso metodi quali phishing, in cui comunicazioni ingannevoli inducono gli utenti a rivelare le proprie credenziali; lo sfruttamento di vulnerabilità presenti in software o sistemi non adeguatamente protetti; oppure l'utilizzo di credenziali predefinite che non sono mai state modificate dopo l'installazione. L'obiettivo principale in questa fase è quello di stabilire un punto d'appoggio all'interno del sistema, creando una piattaforma da cui poter lanciare ulteriori attacchi.
2. Enumerazione e ricognizione del sistema
Una volta penetrati nel sistema, gli aggressori procedono all'enumerazione e alla ricognizione del sistema per raccogliere informazioni dettagliate sull'ambiente. Raccolgono dati relativi all'architettura del sistema, alle versioni dei sistemi operativi, alle applicazioni installate, ai servizi in esecuzione e agli account utente esistenti. La raccolta di queste informazioni è facilitata da strumenti quali utilità a riga di comando, script di sistema e strumenti di scansione della rete, che aiutano a mappare la struttura del sistema e a identificare potenziali obiettivi da sfruttare.
3. Individuazione delle vulnerabilità
Grazie alla loro conoscenza approfondita del sistema, gli aggressori procedono a identificare le vulnerabilità che possono essere sfruttate per elevare i propri privilegi. Cercano vulnerabilità del software, come bug non corretti o difetti per i quali esistono exploit noti. Vengono inoltre individuate le debolezze di configurazione, tra cui servizi configurati in modo errato, permessi sui file non sicuri che consentono l'accesso non autorizzato o impostazioni predefinite che non sono state adeguatamente protette. Inoltre, valutano i problemi relativi alle credenziali, come password deboli facili da indovinare o da violare, credenziali riutilizzate su più sistemi o token di autenticazione esposti che possono essere intercettati.
4. Tecniche di sfruttamento
Per sfruttare le vulnerabilità individuate, gli aggressori ricorrono a diverse tecniche di exploit. Quando sfruttano le vulnerabilità del software, possono causare un overflow del buffer iniettando codice in un programma tramite il superamento dei limiti del buffer, oppure eseguire l’iniezione di codice inserendo codice dannoso in applicazioni affidabili. Un’altra tattica consiste nell’abusare di configurazioni errate; gli aggressori potrebbero sfruttare permessi sui file non sicuri per accedere o modificare i file a causa di impostazioni dei permessi errate, oppure sfruttare l’abuso di SUID/SGID sui sistemi Unix/Linux sfruttando file che vengono eseguiti con privilegi più elevati.
Il furto delle credenziali è una tecnica fondamentale utilizzata per ottenere un accesso non autorizzato. Gli aggressori possono ricorrere al "password hash dumping", estraendo gli hash delle password dalla memoria di sistema o dai file per decifrarli offline. Il keylogging è un'altra tecnica, in cui registrano i tasti digitati per acquisire password e altre informazioni sensibili. Per aggirare i controlli di sicurezza, gli aggressori possono manipolare i token, utilizzando quelli rubati per impersonare utenti con privilegi più elevati. Sui sistemi Windows, potrebbero eseguire il dirottamento delle DLL sostituendo i file legittimi della Dynamic Link Library (DLL) con file dannosi per eseguire codice con privilegi elevati. Sfruttare le vulnerabilità del Controllo account utente (UAC) consente loro di eseguire attività amministrative senza richiedere conferma all'utente, aggirando di fatto una funzione di sicurezza fondamentale.
Grazie a queste tecniche, gli aggressori mirano ad acquisire privilegi elevati all'interno del sistema. Essi eseguono gli exploit utilizzando script o strumenti specializzati, progettati per sfruttare le vulnerabilità individuate. L'implementazione di payload per l'escalation dei privilegi comporta l'introduzione malware creato per elevare i privilegi al momento dell'esecuzione. Lo sfruttamento dei servizi rappresenta un'altra strategia, in cui gli aggressori prendono di mira i servizi in esecuzione con privilegi più elevati, manipolandoli per eseguire codice arbitrario che garantisce loro maggiori diritti di accesso.
6. Attività successive allo sfruttamento
Dopo aver ampliato con successo i propri privilegi, gli aggressori intraprendono attività post-sfruttamento per consolidare il proprio controllo e prepararsi a ulteriori operazioni. Per mantenere l'accesso, possono creare backdoor installando meccanismi persistenti che consentono loro di rientrare nel sistema anche dopo il riavvio o l'applicazione di aggiornamenti di sicurezza. L'aggiunta di nuovi account utente con privilegi amministrativi garantisce loro un accesso continuo senza dover ricorrere all'exploit iniziale.
Coprire le proprie tracce è fondamentale per evitare di essere scoperti. Gli aggressori manipolano i registri cancellando o alterando le registrazioni degli eventi per nascondere le prove delle loro attività. Possono anche modificare i timestamp dei file per impedire agli analisti forensi di individuare anomalie durante le indagini. Grazie a privilegi elevati, gli aggressori possono effettuare movimenti laterali all'interno della rete. La propagazione in rete comporta l'utilizzo del loro accesso per infiltrarsi in altri sistemi collegati alla rete, espandendo la loro portata e il potenziale impatto. Sfruttano le credenziali ottenute per infiltrarsi in ulteriori risorse, un processo noto come riutilizzo delle credenziali, che consente loro di compromettere più account e sistemi senza destare sospetti immediati.
Perché gli hacker lo utilizzano
Perché gli hacker ricorrono all'escalation dei privilegi?
Gli hacker utilizzano tecniche di escalation dei privilegi per ottenere un accesso non autorizzato a livelli più elevati di autorizzazioni all'interno di un sistema o di una rete. Elevando i propri privilegi, gli hacker possono compiere azioni che sono normalmente soggette a restrizioni, come l'accesso a dati sensibili, l'installazione malware, la modifica delle configurazioni di sistema o l'assunzione del controllo totale di un sistema. Comprendere perché gli hacker utilizzano queste tecniche è fondamentale per implementare misure di sicurezza efficaci.
Di seguito sono riportati i motivi principali e le tecniche utilizzate dagli hacker per l'escalation dei privilegi:
Accesso ai dati sensibili
Informazioni riservate: i privilegi elevati consentono agli hacker di accedere a file, database e comunicazioni sensibili a cui gli utenti normali non hanno accesso.
Esfiltrazione di dati: gli hacker possono sottrarre dati preziosi quali identità personali, documenti finanziari o informazioni aziendali riservate.
Controllo del sistema e persistenza
Mantenimento dell'accesso: grazie a privilegi più elevati, gli aggressori possono creare backdoor, creare nuovi account utente o modificare i meccanismi di autenticazione per mantenere l'accesso a lungo termine.
Disattivazione delle misure di sicurezza: possono disattivare i programmi antivirus, i firewall o i sistemi di rilevamento delle intrusioni per evitare di essere scoperti.
Movimento laterale all'interno delle reti
Ampliare il raggio d'azione: l'escalation dei privilegi consente agli aggressori di spostarsi tra diversi sistemi e segmenti di rete, ampliando così la portata del loro attacco.
Compromissione di altri sistemi: l'accesso alle credenziali amministrative consente agli hacker di infiltrarsi in altri dispositivi e server all'interno della rete.
Esecuzione di attacchi avanzati
Installazione Malware ransomware: spesso sono necessari privilegi più elevati per installare o eseguire software dannoso in grado di crittografare i dati o compromettere il funzionamento dei sistemi.
Manipolazione del sistema: gli aggressori possono modificare le configurazioni, le pianificazioni o i servizi del sistema per raggiungere i propri obiettivi.
Come aggirare le restrizioni di sicurezza
Ignorare i permessi: i privilegi elevati consentono agli aggressori di aggirare i permessi del file system e i controlli di accesso.
Accesso a funzioni riservate: possono eseguire operazioni che di norma sono riservate agli amministratori, come la modifica dei registri di controllo.
Raccolta di credenziali
Raccolta di password e token: gli hacker possono estrarre le credenziali dalla memoria, dai file di configurazione o dai portachiavi.
Estrazione dei ticket Kerberos: possono utilizzare tecniche come il "pass-the-hash" o Kerberoasting per ottenere i token di autenticazione.
Interruzioni e sabotaggi
Attacco Denial of Service (DoS): gli hacker possono bloccare servizi fondamentali o sovraccaricare le risorse di sistema.
Manipolazione o distruzione dei dati: possono alterare o cancellare i dati, causando problemi operativi o una perdita di fiducia.
Guadagno finanziario
Furto di denaro: l'accesso ai sistemi finanziari consente agli hacker di manipolare le transazioni o di sottrarre fondi.
Richieste di riscatto: possono crittografare i dati e chiedere un pagamento in cambio delle chiavi di decrittografia.
Coprire le tracce
Manomissione dei registri: grazie a privilegi più elevati, gli aggressori possono cancellare o alterare i registri per nascondere le proprie attività.
Disattivazione degli strumenti di monitoraggio: possono causare l'arresto o interferire con le soluzioni di monitoraggio della sicurezza.
Rilevamenti della piattaforma
Come individuare le attività legate all'escalation dei privilegi
La maggior parte delle organizzazioni ricorre a una combinazione di misure di sicurezza per prevenire gli attacchi di escalation dei privilegi. Zero trust, la gestione delle identità e degli accessi (IAM) e la gestione degli accessi privilegiati (PAM) sono tutti esempi comuni.
Ma c'è un problema con questi approcci: si basano tutti su un unico punto di accesso. Inoltre, la maggior parte delle organizzazioni ha un numero di account privilegiati tre volte superiore a quello dei dipendenti, il che rende impossibile gestirli tutti. E una volta concesso l'accesso, è facile manipolarlo.
Per prevenire l'escalation dei privilegi, è fondamentale garantire una visibilità costante. Il monitoraggio e l'analisi continui dell'attività degli account consentono di individuare gli abusi in tempo reale. E l'unico modo per farlo con precisione è ricorrere all'intelligenza artificiale.
È qui che entra in gioco il sistema avanzato di rilevamento e risposta alle minacce. Vectra AI decine di meccanismi di rilevamento basati sull'intelligenza artificiale per identificare attività anomale legate ai privilegi in rete, nell'ambito delle identità e cloud pubblico. Questi meccanismi non si concentrano sulle anomalie, ma piuttosto sui comportamenti effettivi degli aggressori. Dalle richieste insolite su AWS ed Entra ID alle richieste di servizio sospette, ogni evento viene automaticamente correlato, analizzato, convalidato e classificato per segnalare ai responsabili della sicurezza quando gli aggressori tentano di sfruttare l'escalation dei privilegi.
Proteggi i tuoi account privilegiati grazie a sistemi di rilevamento avanzati
L'escalation dei privilegi è solo uno dei modi in cui gli hacker moderni cercano di aggirare i vostri strumenti di prevenzione. I nostri potenti sistemi di rilevamento basati sull'intelligenza artificiale sono progettati per individuare qualsiasi minaccia analizzando i comportamenti degli hacker, coprendo il 90% delle MITRE ATT&CK rilevanti MITRE ATT&CK .
