Indice
La privilege escalation è un mezzo utilizzato frequentemente dai cybercriminali per ottenere l'accesso non autorizzato ai sistemi e alle risorse di un'organizzazione.
Si tratta di un attacco di rete complesso che consente agli aggressori di ottenere l'accesso illecito a un ambiente target, di persistere e approfondire l'accesso con privilegi più elevati e di svolgere attività più gravi come: la violazione di dati riservati, la visualizzazione di informazioni private o l'installazione di programmi dannosi come i virus informatici.
Cos’è la privilege escalation
La privilege escalation si verifica quando un attore minaccia (threat actor) ottiene accesso elevato e diritti amministrativi a un sistema sfruttando le vulnerabilità di sicurezza. Modificando le autorizzazioni concesse a un’identità, in modo da garantire maggiori diritti e capacità di amministrazione, l'escalation dei privilegi consente agli aggressori di condurre attività dannose sfruttando livelli di privilegio più elevati, causando potenzialmente danni significativi.
I sistemi informatici dispongono di diversi livelli di privilegi, questi spaziano dagli utenti standard con autorizzazioni limitate agli amministratori con il controllo completo del sistema. Un privilege escalation attack di successo significa che l'aggressore è riuscito ad aumentare il proprio livello di privilegio, ottenendo così un maggiore controllo.
Di conseguenza, i cybercriminali possono utilizzare l’escalation of privilege per aprire nuovi vettori di attacco su un sistema bersaglio, facendo evolvere il livello della minaccia da semplice infezione da malware ad una catastrofico data breach e intrusione di rete.
La Formazione sulla Cybersecurity Inizia Qui
Ecco come funziona la tua prova gratuita:
- Parla con i nostri esperti di sicurezza informatica per valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce
- Entro 24 ore e con un minimo di configurazione, implementeremo i nostri strumenti per 30 giorni
- Prova la nostra tecnologia in prima persona!
- Ricevi un rapporto che delinea le tue vulnerabilità di sicurezza per aiutarti a prendere subito provvedimenti adeguati contro gli attacchi alla tua sicurezza informatica
Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.
Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint si metterà in contatto con te a breve, guidandoti nei prossimi passi da seguire.
Tipologie principali di attacchi escalation of privilege
Esistono due tipi principali di privilege escalation attack che gli aggressori utilizzano: quelli verticali e quelli orizzontali. Entrambe le tipologie prevedono che gli aggressori tentino di ottenere un accesso non autorizzato alle risorse o di eseguire azioni dannose, mentre il modo in cui l'attacco viene eseguito può implicare approcci diversi.
Privilege escalation verticale
Un aggressore può utilizzare la privilege escalation verticale per passare da un account utente standard a privilegi di livello superiore, come quello di “superutente” o amministratore, ottenendo così un controllo illimitato sull'intero sistema. Spesso questa tipologia di attacco fornisce il pieno controllo del sistema, consentendo di: modificare le configurazioni, installare software, creare nuovi account utente con privilegi aumentati e persino eliminare dati essenziali.
Privilege escalation orizzontale
L'escalation of privilege orizzontale si verifica quando un utente ottiene l'accesso alle risorse di un altro utente con livello di autorizzazione simile. Ad esempio: un aggressore che utilizza le credenziali di un dipendente attraverso il furto di credenziali o tentativi di phishing è un'escalation di privilegi orizzontale. L'obiettivo non è necessariamente ottenere i privilegi di un amministratore, ma accedere a informazioni sensibili appartenenti ad altri utenti nell'ambito del proprio livello di privilegi.
La differenza fondamentale tra queste due forme di attacco sta nel tipo di accesso che l'attaccante vuole ottenere: quello verticale consiste nello sfruttare le vulnerabilità per ottenere autorizzazioni elevate, mentre quello orizzontale sfrutta le pratiche di sicurezza deboli tra colleghi con livelli di autorizzazione simili.
L'individuazione di entrambe le tipologie di privilege escalation attack richiede vigilanza e solide misure di cybersecurity, tra cui sistemi di monitoraggio della sicurezza per rilevare attività insolite e l'implementazione di solidi metodi di autenticazione. Le aziende devono essere consapevoli dei meccanismi alla base di questi attacchi e del modo in cui vengono eseguiti per assicurarsi di essere adeguatamente protetti da potenziali minacce.
Come funziona la privilege escalation?
Gli aggressori possono ottenere l’accesso iniziale in un sistema trovando punti deboli nel quadro di sicurezza informatica di un'organizzazione. Una volta che l'infiltrazione iniziale è riuscita, gli attori delle minacce sfruttano strategie specifiche che si basano su tecniche verticali o orizzontali.
- Verticale: gli aggressori sfruttano le vulnerabilità all'interno del sistema o delle applicazioni software per aumentare i propri privilegi da un livello di account utente standard fino a livelli di utente privilegiato, come quelli detenuti dagli amministratori di sistema.
Negli attacchi verticali di escalation of privilege, gli attori delle minacce possono anche utilizzare tecniche di social engineering, come le e-mail di phishing, per ingannare gli utenti e indurli a concedere l'accesso inavvertitamente o a rivelare informazioni sensibili che favoriscono il furto delle credenziali. - Orizzontale: a differenza della privilege escalation verticale, che prevede l'elevazione dei permessi per ottenere i privilegi di root o di amministratore, la privilege escalation orizzontale si concentra sul movimento laterale attraverso gli account di livello pari. I criminali informatici utilizzano spesso tattiche come il furto di credenziali e il session hijacking durante questi attacchi. Possono anche iniettare un payload dannoso in applicazioni software utilizzate frequentemente da utenti con livelli di autorizzazione simili.
Che sia condotta in modo verticale o orizzontale, l'escalation of privilege funziona comunemente sfruttando una configurazione errata di reti e sistemi. Ciò include il ricorso a vulnerabilità come: la mancata configurazione dell'autenticazione per i sistemi sensibili, errori amministrativi nella configurazione dei firewall, difetti di progettazione specifici o sviste nei sistemi operativi o nelle applicazioni Web.
Gli attacchi di privilege escalation possono essere eseguiti localmente o in remoto. Gli attacchi di privilege escalation locali iniziano di solito all'interno dell'azienda, in genere da un membro interno dell'organizzazione. L'escalation remota, sempre più diffusa, può iniziare praticamente da ovunque.
Come prevenire i privilege escalation attacks
Nella cybersecurity, un'efficace prevenzione degli attacchi informatici è sempre meglio di un solido piano di disaster recovery. Ecco alcune delle misure fondamentali utilizzate per prevenire gli attacchi di privilege escalation:
- Patching regolare del sistema: altrimenti caratterizzato da strategie di gestione delle patch, il mantenimento di sistemi aggiornati con le patch più recenti può contribuire a ridurre la possibilità che gli aggressori utilizzino falle di sicurezza note nei programmi software o nei sistemi operativi.
- Metodi di autenticazione solidi: implementare l'autenticazione a due fattori (2FA) o l'autenticazione a più fattori (MFA) per scoraggiare il furto di credenziali e rendere più difficile l'accesso non autorizzato da parte di malintenzionati.
- Monitoraggio dell'attività dell'utente: monitorare l'attività dell'utente per individuare comportamenti sospetti che potrebbero indicare che un account privilegiato è stato compromesso. Il rilevamento della privilege escalation implica l'osservazione di cambiamenti improvvisi nei modelli di comportamento degli utenti o di attività insolite dell'amministratore di sistema.
- Adottare politiche di sicurezza per le password: implementare politiche di password forti, che richiedano agli utenti di creare password sicure e complesse, aggiornate regolarmente, è particolarmente utile nelle grandi organizzazioni.
- Principio del minimo privilegio: aderire al principio del minimo privilegio, limitando le autorizzazioni degli utenti solo a quanto necessario per il loro ruolo. In questo modo si riducono i danni potenziali qualora un aggressore comprometta l'account di un utente.
- Controllo dell'accesso a sudo: negli ambienti Linux, il controllo dell’accesso a sudo può aiutare a prevenire gli incidenti di escalation dei privilegi. La corretta amministrazione dei diritti sudo, compresa la verifica periodica di chi li detiene e di quali comandi sono autorizzati a eseguire con permessi elevati, aiuta a tenere a bada questa minaccia.
Gli attacchi di privilege escalation possono essere meglio prevenuti utilizzando una combinazione strategica di pratiche e strumenti di cybersecurity efficaci. Le organizzazioni devono assicurarsi che le misure di sicurezza implementate siano solide e regolarmente aggiornate per prevenire questo tipo di attacchi informatici.
Come individuare gli attacchi di escalation of privilege
La prevenzione degli accessi non autorizzati e il mantenimento della sicurezza del sistema dipendono da efficaci capacità di rilevamento. Le organizzazioni possono rilevare gli attacchi di privilege escalation in diversi modi, tra cui:
- Controllare i registri di sistema: esaminare regolarmente i registri di sistema per individuare schemi insoliti o attività sospette, come ripetuti tentativi di accesso falliti o utilizzo anomalo di comandi.
- Strumenti di rilevamento delle anomalie: identificare le deviazioni dal comportamento normale all'interno della rete utilizzando strumenti di rilevamento delle anomalie. Ad esempio, dei cambiamenti improvvisi nei ruoli degli utenti potrebbero indicare un incidente di privilege escalation in corso.
- Analisi del comportamento di utenti ed entità (UEBA): l'UEBA utilizza algoritmi di apprendimento automatico per comprendere i modelli di comportamento tipici degli utenti e avvertire in caso di deviazione dalla norma, identificando un potenziale tentativo di escalation dei privilegi.
- Monitoraggio delle password: implementare il monitoraggio delle password per avvisare quando le password vengono modificate senza autorizzazione, un'eventualità che potrebbe indicare il tentativo di un aggressore di mantenere i propri privilegi nel tempo.
- Sistemi di rilevamento delle intrusioni (IDS): scansionare le tracce note delle tecniche comuni di privilege escalation, come gli exploit di buffer overflow o gli attacchi di SQL injection, utilizzando i sistemi di rilevamento delle intrusioni per rilevare tempestivamente gli incidenti prima che si verifichino danni significativi.
Tieni a mente che nessun singolo metodo è in grado di rilevare tutti i possibili vettori di attacco. Le aziende devono disporre di difese solide e misure di rilevamento proattive che sfruttano una combinazione di strategie per mitigare tali minacce.
Esempi comuni di vettori di attacco della privilege escalation
La privilege escalation può avvenire attraverso vari vettori di attacco, analizziamoli nel dettaglio.
Malware
Gli aggressori utilizzano spesso payload di malware per tentare di elevare i privilegi su sistemi mirati. Questo tipo di attacco inizia in genere ottenendo un accesso di base prima di distribuire il payload dannoso il cui scopo è quello di aumentare l'autorità all'interno del sistema.
Sfruttamento delle credenziali
Un aggressore tenta spesso l'escalation dei privilegi sfruttando account deboli o effettuando il furto di credenziali. Una volta ottenuto l'accesso a queste credenziali, può eseguire azioni dannose sotto le spoglie di un utente privilegiato.
Vulnerabilità ed exploit
Un metodo comune utilizzato per l'escalation dei privilegi in Linux e Windows consiste nello sfruttare le vulnerabilità del software. Ad esempio, se un'applicazione non aderisce al principio del minimo privilegio, può consentire un'escalation verticale dei privilegi in cui un aggressore ottiene i privilegi di root o di amministratore.
Configurazioni errate
A volte gli amministratori di sistema creano inavvertitamente opportunità di escalation orizzontale dei privilegi a causa di errori di configurazione. Ad esempio, concedendo inutilmente l'accesso sudo o non proteggendo adeguatamente le informazioni sugli account privilegiati.
Social Engineering
Questo metodo si basa molto sull'interazione umana piuttosto che su difetti tecnici. Uno scenario tipico potrebbe prevedere che i dipendenti siano indotti a rivelare i propri dati di accesso, consentendo agli aggressori di entrare facilmente nelle reti sicure da cui poi possono aumentare i propri livelli di autorizzazione.
Il rilevamento degli attacchi di social engineering richiede una vigilanza incentrata sull'uomo, ma gli strumenti disponibili sono progettati specificamente per rilevare potenziali incidenti che comportano l'escalation dei privilegi.
Attacchi di privilege escalation per sistema operativo
Gli attacchi di privilege escalation possono anche essere specifici per i sistemi operativi, in particolare Linux e Windows. Ecco alcuni degli esempi più comuni di attacchi di privilege escalation basati su ciascuno dei sistemi operativi:
Linux Privilege Escalation
La natura open-source di Linux lo rende suscettibile ad alcuni tipi di attacchi di privilege escalation, tra cui:
- Sfruttamento del kernel: un metodo comune in cui gli aggressori sfruttano le vulnerabilità del kernel Linux per ottenere i privilegi di root. Sfruttando queste debolezze, i cybercriminali possono eseguire payload dannosi che consentono loro di eseguire attività dannose sfruttando i privilegi.
- Enumerazione: gli attori delle minacce raccolgono informazioni sul sistema, come gli account utente o le risorse di rete, che potrebbero essere sfruttate per ulteriori attacchi.
- Sfruttamento del diritto SUDO: gli aggressori spesso tentano l'escalation dei privilegi sfruttando i diritti sudo mal configurati. Se un utente privilegiato è stato poco attento alle autorizzazioni di accesso sudo, un aggressore può essere in grado di sfruttare questa svista per i propri scopi.
Windows Privilege Escalation
Windows, un altro sistema operativo molto diffuso, deve affrontare la sua parte di incidenti di privilege escalation, soprattutto perché molte aziende si affidano a questo sistema per le operazioni aziendali. Ecco alcuni metodi comunemente utilizzati:
- Manipolazione dei token di accesso: questa tecnica prevede la manipolazione dei token associati agli account privilegiati per indurre il sistema a concedere un accesso di livello superiore a quello previsto.
- Bypassare il controllo dell'account utente (UAC): un utente malintenzionato potrebbe tentare di aggirare gli avvisi UAC progettati per impedire modifiche non autorizzate utilizzando processi furtivi che non attivano tali avvisi.
- Sticky Keys: questo attacco sostituisce sethc(.exe) (l'applicazione responsabile di Sticky Keys) con cmd(.exe) (Prompt dei comandi), consentendo a chiunque prema cinque volte SHIFT nella schermata di accesso di ottenere i privilegi di amministratore senza bisogno di credenziali.
Il rilevamento dell'escalation dei privilegi richiede misure di sicurezza sofisticate, dato che gli aggressori agiscono in modo sottile quando tentano queste violazioni. Sebbene le soluzioni di prevenzione e rilevamento sopra descritte forniscano una base adeguata, le aziende hanno spesso bisogno di ulteriore supporto per mantenere i loro sistemi completamente protetti.
In che modo Proofpoint può aiutare
Per mitigare la miriade di attacchi di privilege escalation, è fondamentale disporre di un solido sistema di difesa dalle minacce all'identità. La soluzione Identity Threat Detection and Response di Proofpoint offre una strategia efficace per rilevare e rispondere a tali minacce.
Lo strumento completo di Proofpoint aiuta a rilevare gli incidenti di privilege escalation monitorando gli account utente alla ricerca di attività sospette o di cambiamenti nei modelli di comportamento. Utilizza analisi avanzate per identificare i rischi potenziali, compresi i tentativi di eseguire azioni dannose o escalation di privilegi.
La piattaforma è progettata con meccanismi sofisticati che riconoscono le tecniche di escalation of privilege verticali ed orizzontali. Che si tratti di un aggressore che cerca di ottenere i privilegi di root o di un utente privilegiato che tenta di accedere in modo non autorizzato ai dati di altri utenti, Proofpoint garantisce il rilevamento immediato di queste minacce.
- Rilevamento dell'escalation dei privilegi: questo strumento identifica efficacemente qualsiasi attività insolita, come l'accesso al di là del proprio livello di autorizzazione, le modifiche improvvise dei diritti di amministratore di sistema, l'uso improprio dell'accesso sudo e così via, indicando possibili tentativi di elevazione dei privilegi.
- Risposta agli incidenti: nel momento in cui viene rilevato un potenziale incidente in cui un aggressore compromette le misure di sicurezza per sfruttare la privilege escalation, Proofpoint attiva immediatamente gli avvisi, consentendo una risposta rapida da parte del team IT.
- Riduzione dei rischi: applicando rigorosamente il principio del minimo privilegio su tutti i sistemi (compresi Linux e Windows), riduce al minimo le opportunità per gli aggressori di tentare l'escalation dei privilegi attraverso il furto di credenziali o l'invio di payload dannosi nell'infrastruttura di rete.
Oltre a questo approccio proattivo alla prevenzione degli attacchi, Proofpoint aiuta le aziende a creare ambienti sicuri educandole sugli esempi più comuni di attori malintenzionati che sfruttano le vulnerabilità del sistema per ottenere un accesso non autorizzato. Questa conoscenza consente alle aziende di non essere solo reattive, ma anche proattive. Contattaci oggi stesso per saperne di più!