Elevazione dei privilegi

Evasione dei privilegi verticali

Ciò si verifica quando un aggressore con diritti di accesso limitati, come un utente normale, sfrutta le vulnerabilità per ottenere privilegi di livello superiore, come l'accesso amministrativo o root. Si tratta della forma più comune di escalation dei privilegi e può comportare rischi significativi per la sicurezza.

‍

‍

Elevazione dei privilegi orizzontale

Inquesto caso, un aggressore si muove lateralmente all'interno di un sistema, ottenendo l'accesso alle risorse o agli account di altri utenti che dispongono di diritti di accesso simili. Sebbene l'escalation orizzontale non comporti l'aumento dei privilegi, consente agli aggressori di sfruttare altri account o dati.

‍

‍

In che modo gli aggressori procedono per aumentare i propri privilegi?

1. Acquisizione dell'accesso iniziale

Gli aggressori iniziano ottenendo l'accesso a un sistema con privilegi utente di base. Ciò avviene attraverso metodi quali phishing, in cui comunicazioni ingannevoli inducono gli utenti a rivelare le proprie credenziali; lo sfruttamento di vulnerabilità in software o sistemi che non sono stati adeguatamente protetti; oppure l'utilizzo di credenziali predefinite che non sono mai state modificate dopo l'installazione. L'obiettivo principale in questa fase è quello di stabilire un punto d'appoggio all'interno del sistema, creando una piattaforma da cui poter lanciare ulteriori attacchi.

2. Enumerazione e ricognizione del sistema

Una volta entrati nel sistema, gli aggressori procedono all'enumerazione e alla ricognizione del sistema per raccogliere informazioni dettagliate sull'ambiente. Raccolgono dati sull'architettura del sistema, sulle versioni del sistema operativo, sulle applicazioni installate, sui servizi in esecuzione e sugli account utente esistenti. La raccolta di queste informazioni è facilitata da strumenti quali utilità a riga di comando, script di sistema e strumenti di scansione della rete, che aiutano a mappare la struttura del sistema e a identificare potenziali obiettivi da sfruttare.

3. Identificazione delle vulnerabilità

Grazie alla loro conoscenza approfondita del sistema, gli aggressori procedono all'identificazione delle vulnerabilità che possono essere sfruttate per aumentare i propri privilegi. Cercano vulnerabilità software, come bug non corretti o difetti con exploit noti. Vengono ricercate anche debolezze di configurazione, inclusi servizi configurati in modo errato, autorizzazioni di file non sicure che consentono accessi non autorizzati o impostazioni predefinite che non sono state protette adeguatamente. Inoltre, valutano i problemi relativi alle credenziali, come password deboli facili da indovinare o decifrare, credenziali riutilizzate su più sistemi o token di autenticazione esposti che possono essere intercettati.

4. Tecniche di sfruttamento

To take advantage of the identified vulnerabilities, attackers employ various exploitation techniques. When exploiting software vulnerabilities, they may perform buffer overflows by injecting code into a program through overrunning a buffer's boundary, or conduct code injection by inserting malicious code into trusted applications. Abusing misconfigurations is another tactic; attackers might exploit insecure file permissions to access or modify files due to improper permission settings, or leverage SUID/SGID abuse on Unix/Linux systems by exploiting files that execute with higher privileges.

Credential theft is a critical method used to gain unauthorized access. Attackers might engage in password hash dumping, extracting password hashes from system memory or files to crack them offline. Keylogging is another technique, where they record keystrokes to capture passwords and other sensitive information. To bypass security controls, attackers may manipulate tokens, using stolen tokens to impersonate higher-privileged users. On Windows systems, they might perform DLL hijacking by replacing legitimate Dynamic Link Library (DLL) files with malicious ones to execute code with elevated privileges. Exploiting weaknesses in User Account Control (UAC) allows them to perform administrative tasks without prompting the user, effectively bypassing a key security feature.

5. Ottenere privilegi elevati

Armed with these techniques, attackers aim to gain elevated privileges within the system. They execute exploits by running specialized scripts or tools designed to take advantage of the identified vulnerabilities. Deploying privilege escalation payloads involves introducing malware specifically crafted to escalate privileges upon execution. Service exploitation is another avenue, where attackers target services that are running with higher privileges, manipulating them to execute arbitrary code that grants them increased access rights.

6. Attività successive allo sfruttamento

Dopo aver ottenuto l'escalation dei privilegi, gli aggressori intraprendono attività post-exploit per consolidare il proprio controllo e prepararsi a ulteriori operazioni. Per mantenere l'accesso, possono creare backdoor installando metodi persistenti che consentono loro di rientrare nel sistema anche dopo il riavvio o gli aggiornamenti di sicurezza. L'aggiunta di nuovi account utente con privilegi amministrativi garantisce loro un accesso continuo senza dover fare affidamento sull'exploit iniziale.

Covering their tracks is essential to avoid detection. Attackers manipulate logs by deleting or altering event records to hide evidence of their activities. They may also modify file timestamps to prevent forensic analysts from identifying anomalies during investigations. With elevated privileges, attackers can perform lateral movement within the network. Network propagation involves using their access to infiltrate other systems connected to the network, expanding their reach and potential impact. They leverage obtained credentials to infiltrate additional resources, a process known as credential reuse, which allows them to compromise more accounts and systems without triggering immediate suspicion.

‍