A escalada de privilégios é um ataque realizado por criminosos cibernéticos para obter acesso aos privilégios do sistema de um computador ou rede, dando-lhes liberdade para acessar, executar e modificar como quiserem. Assim, para saber como funciona e o que é Escalação de Privilégios em sua totalidade, leia o artigo abaixo.
O que é Escalação de Privilégios?
Um cibercriminoso ou agente de ameaça tem dois objetivos relacionados: um é obter acesso não autorizado à sua rede. O segundo é obter privilégios administrativos ou privilégios de root.
Frequentemente, a conta que eles comprometem para obter acesso à sua rede é uma conta de usuário regular.
Se os princípios do menor privilégio forem seguidos, cada usuário receberá apenas as capacidades e a autoridade necessárias para que eles desempenhem corretamente sua função, e nada mais.
Para que nosso agente de ameaça adquira privilégios administrativos, ele precisa usar técnicas de escalonamento de privilégios.
Vamos dar uma olhada em um cenário típico. A maioria das organizações tem dispositivos multifuncionais (MFD) que imprimem, digitalizam, enviam fax e fazem fotocópias. Na maioria das vezes, eles são fornecidos por um especialista em impressoras. Não por especialistas em segurança e nem mesmo por uma empresa de TI.
O provedor pode acessar remotamente o MFD para verificar seus níveis de toner e monitorar as estatísticas de impressão para que eles possam ver quando um serviço está devido.
E como o dispositivo pode digitalizar documentos, ele deve ter uma conta de e-mail para enviar a digitalização para você ou deve ter acesso de gravação a um local em sua rede em que ele possa salvar as digitalizações.
Então, em resumo, o dispositivo deve ter uma conta em sua rede e ser remotamente acessível. Essa é uma proposta atraente para um agente de ameaça.
Se o fornecedor do dispositivo tiver seguido as melhores práticas e protegido o acesso remoto ao MFD com uma senha forte e exclusiva , tudo estará bem.
Mas se eles facilitaram a vida para si mesmos, eles podem ter reutilizado uma senha fraca em todos os dispositivos que forneceram a todos os seus clientes.
Isso dá ao agente da ameaça um meio de entrada na sua rede e na rede de todos os outros clientes daquele provedor de impressora. Se esse for o caso, o agente da ameaça terá acesso a uma conta de usuário que — esperançosamente — recebeu os privilégios mínimos de usuário e rede. .
Outro vetor de ataque comum são os sites. Os agentes de ameaças geralmente usam ataques da web para obter acesso básico e, em seguida, continuam com técnicas de escalonamento de privilégios para obter mais controle.
Se o seu site foi construído usando uma metodologia de segurança por design e padrão, você estará mais protegido do que se a aparência, o comportamento e o conteúdo do seu site viessem em primeiro lugar, com a segurança sendo colocada em segundo plano.
Mas, independentemente do vetor de ataque, a escalada de privilégios é realizada uma vez que o agente da ameaça tenha obtido acesso à sua rede.
O objetivo final pode ser sabotagem, acesso a dados confidenciais , instalação de ransomware ou introdução de algum outro código malicioso, como spyware, rootkits e keyloggers.
Existem dois tipos de escalonamento de privilégios: escalonamento de privilégios horizontal e escalonamento de privilégios vertical.
Escalada de privilégios verticais
Em um ataque de escalonamento vertical de privilégios, o agente da ameaça usa várias técnicas para conceder à conta comprometida que ele está usando privilégios normalmente reservados para usuários com maior acesso.
É chamado de escalada vertical de privilégios porque eles estão se promovendo para níveis mais altos de capacidade e subindo na hierarquia dos usuários. É a forma cibercriminosa de escalada social.
Eles conseguem isso usando vulnerabilidades no sistema operacional que lhes permitirão manipular privilégios. Eles procuram por vulnerabilidades conhecidas e , se elas estiverem presentes — talvez o sistema operacional não tenha tido os patches de segurança mais recentes aplicados — eles podem usar as vulnerabilidades para aumentar ilicitamente seus privilégios.
Por exemplo, a execução de dados é uma técnica em que o código injetado é executado de áreas reservadas para uso pelo Windows e seus processos aprovados.
Se o agente da ameaça puder executar seus próprios programas a partir dessa área privilegiada, ele poderá usar os direitos elevados concedidos ao seu programa para fazer alterações na conta de usuário que ele comprometeu.
Se o agente da ameaça for bem-sucedido na exploração das vulnerabilidades, ele ganhará o poder de executar qualquer atividade que desejar. Ele pode criar novos usuários do sistema (e superusuários), acessar qualquer arquivo e alterar as configurações do sistema. Se escolher, ele pode sequestrar a rede inteira.
Dispositivos móveis também são vulneráveis. Telas de bloqueio podem ser ignoradas.
Obviamente, isso dá ao agente da ameaça acesso ao conteúdo do dispositivo, mas também dá a ele acesso à conectividade que o dispositivo tem. Ele tem um e-mail comercial ou uma conexão de volta à rede corporativa? Talvez ele tenha um aplicativo VPN com credenciais armazenadas nele. Isso significa que o agente da ameaça tem acesso fácil à rede corporativa.
Tanto o Android quanto o iOS foram afetados por tais vulnerabilidades no passado. É por isso que os cronogramas de atualização e patch devem incluir dispositivos móveis, e a limpeza remota de dispositivos móveis corporativos perdidos deve ser implementada.
Escalação de privilégios horizontais
Na escalada de privilégios horizontal , o agente da ameaça tem acesso a uma conta de usuário regular, assim como o agente da ameaça no ataque de escalada de privilégios vertical. No entanto, eles não buscam obter privilégios mais altos e aplicá-los à sua conta comprometida, eles tentam obter acesso a outras contas que já têm esses privilégios.
Isso normalmente é obtido usando técnicas menos técnicas, como adivinhar ou conhecer senhas fracas ou registrar pressionamentos de tecla e extrair detalhes de autenticação dos dados registrados.
Engenharia social é um estratagema comum usado para coagir usuários a revelar informações sobre si mesmos que podem dar uma pista sobre suas senhas. Às vezes, os usuários podem ser persuadidos a “compartilhar” suas credenciais de login temporariamente enquanto “alguém da TI” faz algo em seu computador.
Evitando vulnerabilidades de escalonamento de privilégios
Vulnerabilidades de escalonamento de privilégios surgem por diferentes motivos:
- Erros de software: aplicativos, sites e outros portais mal projetados podem incluir vulnerabilidades que os tornam suscetíveis a ataques da web, como estouros de buffer e injeção de SQL. Os sites são fáceis de ignorar quando cronogramas de patches são elaborados. Lembre-se de corrigir os protocolos, tecnologias e estruturas que seu site usa.
- Configuração incorreta: Dar aos usuários ou processos privilégios maiores do que o mínimo necessário para desempenhar sua função é uma prática ruim. Às vezes, isso é feito porque um problema de rede está impedindo que uma conta de usuário ou dispositivo acesse algo que eles deveriam conseguir, e dar a eles privilégios totais ou elevados é uma solução rápida. Configuração incorreta intencional ainda é configuração incorreta e é igualmente prejudicial se explorada.
- Higiene de segurança e patching deficiente : Não aplicar patches em sistemas operacionais, aplicativos, dispositivos de rede e sites em tempo hábil coloca você em risco. Se você não mantiver seus patches atualizados, seus sistemas ficarão progressivamente mais expostos e enfraquecidos.
- Senhas fracas : implemente uma política de senhas que governe a composição de senhas e sua proteção. Certifique-se de que ela mencione nunca compartilhar senhas e nunca divulgar senhas.
- Treinamento de conscientização da equipe : mantenha a equipe informada sobre as melhores práticas e faça uma dramatização de alguns cenários de engenharia social. Sua equipe não vai aprender essas coisas magicamente por osmose. Dê a eles a orientação de que precisam.