Funktionsweise Privilegieneskalation und 6 Möglichkeiten, sie zu verhindern

Was ist Privilegieneskalation?

Bei der Rechteausweitung handelt es sich um eine Sicherheitslücke oder -technik, die von Angreifern verwendet wird – ausgehend von kompromittierten oder gestohlenen Anmeldeinformationen – um unbefugten Zugriff auf Berechtigungen oder Systemprivilegien höherer Ebene innerhalb eines Computersystems, Netzwerks oder einer Anwendung zu erlangen.

Dies wird typischerweise durch Ausnutzen von Schwachstellen, Fehlkonfigurationen, menschlichen Fehlern oder Mängeln im Sicherheitsdesign des Systems erreicht, wodurch der Angreifer die Kontrolle erlangen, auf vertrauliche Daten zugreifen oder nicht autorisierte Aktionen ausführen kann.

Eine Rechteerweiterung kann sowohl vertikal (Aufstieg von einer niedrigeren auf eine höhere Rechteebene) als auch horizontal (Erlangung des Zugriffs auf Ressourcen oder Funktionen auf derselben Rechteebene, die ursprünglich nicht gewährt wurden) erfolgen.

Empfohlene Lektüre:Security Big Data Analytics: Vergangenheit, Gegenwart und Zukunft.

Warum ist es wichtig, Privilegieneskalation zu verhindern?

Eine Privilegienerweiterung wird typischerweise von einem Angreifer durchgeführt, der eine kompromittierte Identität (Anmeldeinformationen) verwendet. Diese Art von Angriffen ist unglaublich schwer zu erkennen und umgeht fast immer gängige Signaturen und Regeln. Die Auswirkungen einer erfolgreichen Privilegienerweiterung können verheerend sein, was durch die Ineffektivität herkömmlicher Erkennungsmethoden noch verschlimmert wird.

Das Verhindern einer Rechteausweitung ist aus mehreren Gründen von entscheidender Bedeutung:

• Schützen Sie vertrauliche Daten: Eine Ausweitung der Berechtigungen kann zu einem unbefugten Zugriff auf vertrauliche Informationen wie persönliche, finanzielle oder geschäftliche Daten führen, die von böswilligen Akteuren ausgenutzt oder weitergegeben werden können.
• Aufrechterhaltung der Systemintegrität: Wenn ein Angreifer erweiterte Berechtigungen erlangt, kann er kritische Systemdateien, Konfigurationen oder Anwendungen manipulieren, ändern oder löschen, was zu Systeminstabilität oder Fehlfunktionen führen kann.
• Verhindern Sie nicht autorisierte Aktionen: Indem Sie die Ausweitung von Berechtigungen verhindern, können Sie die Möglichkeiten von Angreifern einschränken, nicht autorisierte Aktionen auszuführen, wie etwa das Erstellen neuer Benutzerkonten, die Installation von Malware oder das Ändern von Sicherheitseinstellungen.
• Compliance und rechtliche Auswirkungen: Unternehmen müssen verschiedene Vorschriften und Branchenstandards einhalten, die angemessene Sicherheitsmaßnahmen erfordern, einschließlich des Schutzes vor Privilegienerweiterungen. Andernfalls drohen Strafen, rechtliche Schritte und Reputationsschäden.
• Aufrechterhaltung der Betriebskontinuität: Ein erfolgreicher Angriff mit Privilegienerweiterung kann den Geschäftsbetrieb stören und zu Ausfallzeiten, Produktivitätsverlusten und potenziellen Umsatzeinbußen führen. Die Verhinderung solcher Angriffe trägt zur Aufrechterhaltung der Betriebskontinuität bei und schützt Geschäftsprozesse.

Techniken Privilegieneskalation

Angriffe zur Rechteausweitung lassen sich in zwei Haupttechniken unterteilen: vertikal (oder Erhöhung) und horizontal. Beide Techniken zielen darauf ab, unbefugten Zugriff zu erlangen, unterscheiden sich jedoch im Umfang und der Ebene der anvisierten Berechtigungen.

Vertikale Privilegieneskalation (Erhöhung von Privilegien)

Bei vertikalen Angriffen zur Rechteausweitung versucht der Angreifer, seine Zugriffsrechte von einer niedrigeren auf eine höhere Ebene zu erhöhen, beispielsweise von einem Standardbenutzerkonto auf ein Administrator- oder Systemkonto.

Mit dieser Art von Angriff erlangt der Angreifer mehr Kontrolle über das System, kann auf eingeschränkte Ressourcen zugreifen und Aktionen ausführen, die mit seiner ursprünglichen Zugriffsebene nicht möglich waren. Zu den gängigen Techniken für die vertikale Rechteausweitung gehören:

• Ausnutzen von Software-Schwachstellen: Angreifer können ungepatchte Software- oder Betriebssystem-Schwachstellen ausnutzen, um ihre Berechtigungen zu erweitern.
• Fehlkonfigurationen: Schlecht konfigurierte Systeme, Dienste oder Dateiberechtigungen können Angreifern die Möglichkeit bieten, ihre Berechtigungen zu erhöhen.
• Social Engineering: Angreifer könnten Benutzer dazu verleiten, ihre privilegierten Anmeldeinformationen preiszugeben oder Aktionen auszuführen, die zu einer Ausweitung ihrer Berechtigungen führen.

Horizontale Privilegieneskalation

Bei horizontalen Angriffen zur Rechteausweitung zielt der Angreifer darauf ab, Zugriff auf Ressourcen oder Funktionen auf derselben Berechtigungsebene wie sein aktuelles Konto zu erhalten, die ihm jedoch ursprünglich nicht gewährt wurden.

Ziel ist es, auf die Daten, Ressourcen oder eingeschränkten Funktionen eines anderen Benutzers zuzugreifen, ohne die Berechtigungsstufe des Angreifers zu erhöhen. Gängige Techniken zur horizontalen Rechteausweitung sind:

• Kennwortangriffe: Angreifer können Techniken wie das Erraten von Kennwörtern, Brute-Force-Angriffe oder Keylogging einsetzen, um unbefugten Zugriff auf das Konto eines anderen Benutzers mit derselben Berechtigungsstufe zu erhalten.
• Session Hijacking: Angreifer können eine bestehende Benutzersitzung abfangen, manipulieren oder übernehmen, um Zugriff auf deren Ressourcen zu erhalten.
• Ausnutzen von Anwendungsschwachstellen: Angreifer können Fehler in der Anwendungslogik, der Authentifizierung oder den Zugriffskontrollmechanismen ausnutzen, um auf Ressourcen oder Funktionen zuzugreifen, die anderen Benutzern eigentlich vorbehalten sein sollten.
• Pass-the-Hash: Angreifer erfassen einen Passwort-Hash und geben ihn zur Authentifizierung und zum seitlichen Zugriff auf andere vernetzte Systeme weiter.
• Silver- und Golden-Ticket-Angriffe: Bei Golden-Ticket-Angriffen wird die vollständige Kontrolle über das Active Directory (AD) aufgegeben. Alternativ kann ein Angreifer mithilfe eines Silver-Tickets mehrere Ticket-Granting-Service-Tickets (TGS) für einen bestimmten Dienst erstellen, ohne mit dem Domänencontroller (DC) im Netzwerk zu kommunizieren.

Funktionsweise von Privilegieneskalation-Angriffen

Bei horizontalen oder vertikalen Angriffen zur Rechteausweitung geht es in der Regel darum, eine Schwachstelle im Zusammenhang mit der Rechteverwaltung auszunutzen, wie etwa Systemfehler, Fehlkonfigurationen oder unzureichende Zugriffskontrollen, die in Kerberos usw. ausgenutzt werden können.

Alle Konten, die mit einem System interagieren, verfügen über bestimmte Berechtigungen, unabhängig davon, ob der Kontoinhaber sich dessen bewusst ist oder nicht. Normale Benutzer haben in der Regel nur eingeschränkten Zugriff auf Systemdatenbanken, sensible Dateien oder andere wertvolle Informationsquellen. Deshalb sind sie sich ihrer eingeschränkten Berechtigungen möglicherweise gar nicht bewusst – im Gegensatz zu böswilligen Akteuren besteht für sie kein Bedarf an Zugriff auf Informationen, die über ihren zugewiesenen Zugriffsbereich hinausgehen.

Um die Rechteausweitung besser zu verstehen, ist es wichtig, die fünf wichtigsten Techniken zu kennen, die Angreifer einsetzen, um höhere Rechte oder Zugriffsrechte zu erlangen: Ausnutzung von Anmeldeinformationen (z. B. Ausnutzung schwacher Passwörter), Systemschwachstellen und Exploits, Fehlkonfigurationen, Malware und Social Engineering.

Mithilfe einer oder mehrerer dieser Methoden können Angreifer ein System infiltrieren. Nach dem Zugriff beobachten sie die Umgebung und warten auf den richtigen Moment für ihren nächsten Schritt: Sie erweitern die Berechtigungen auf Konten mit mehr Autorität als das ursprünglich kompromittierte Konto. Je nach Ziel können Angreifer ihre Berechtigungen weiter ausbauen, um die Kontrolle über ein Administrator- oder Root-Konto zu erlangen, oder sich horizontal bewegen, bis sie schließlich die gesamte Umgebung beherrschen.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, eine Privilegienerweiterung besser zu verhindern:

Nutzen Sie die Mikrosegmentierung
Segmentieren Sie Ihr Netzwerk in Mikroperimeter, um Arbeitslasten zu isolieren und granulare Sicherheitskontrollen anzuwenden. So wird die Möglichkeit für Angreifer eingeschränkt, ihre Berechtigungen im gesamten Netzwerk zu erweitern.

Erzwingen Sie Anwendungs-Sandboxing
Begrenzen Sie den Umfang potenzieller Rechteausweitungen, indem Sie Anwendungen in isolierten Sandboxen ausführen. So verhindern Sie, dass Angreifer eine kompromittierte Anwendung ausnutzen, um andere Teile des Systems zu beeinträchtigen.

Verwenden Sie eine unveränderliche Infrastruktur
Durch die Implementierung einer unveränderlichen Infrastruktur (bei der die Infrastruktur nach der Bereitstellung nie mehr geändert wird) wird das Risiko einer Rechteausweitung verringert, indem sichergestellt wird, dass keine nicht autorisierten Änderungen zwischen den Bereitstellungen bestehen bleiben.

Integrieren Sie PAM mit UEBA
Privileged Access Management (PAM)-Tools sind von entscheidender Bedeutung, aber ihre Kombination mit User and Entity Behavior Analytics (UEBA) ermöglicht die Echtzeiterkennung ungewöhnlicher Verhaltensweisen im Zusammenhang mit privilegierten Konten und verbessert so die Bedrohungserkennung.

Tokenbasierte Authentifizierung zur Abwehr lateraler Bewegungen
Verwenden Sie tokenbasierte Systeme wie OAuth oder Kerberos-Tickets, um laterale Bewegungen innerhalb eines Netzwerks einzuschränken. Die Kompromittierung eines Tokens verschafft Angreifern keinen systemweiten Zugriff, wodurch das Risiko einer Eskalation verringert wird.

6 Möglichkeiten zur Verhinderung von Privilegieneskalation

Um Angriffe zur Rechteausweitung zu verhindern, ist ein vielschichtiger Ansatz erforderlich, der verschiedene Sicherheitspraktiken, Tools und Maßnahmen umfasst. Hier sind einige bewährte Methoden, die Sie berücksichtigen sollten:

1. Privilegierte Konten sorgfältig verwalten

Hier sind mehrere Möglichkeiten, den Zugriff angemessen zu verwalten und eine Rechteausweitung zu verhindern:

• Begrenzung der Anzahl privilegierter Konten: Reduzieren Sie die Anzahl privilegierter Konten auf das erforderliche Minimum und erteilen Sie nur Benutzern erhöhte Berechtigungen, die diese benötigen.
• Prinzip der geringsten Privilegien: Weisen Sie den Benutzern die Mindestzugriffsebene und Berechtigungen zu, die sie zum Ausführen ihrer Aufgaben benötigen.
• Regelmäßige Überprüfung und Auditierung: Überprüfen und auditieren Sie regelmäßig die Berechtigungen privilegierter Konten, um sicherzustellen, dass nur autorisierte Benutzer über erweiterte Zugriffsrechte verfügen.
• Überwachung und Protokollierung: Implementieren Sie eine Überwachung und Protokollierung der Aktivitäten privilegierter Konten, um verdächtige Aktionen und potenziellen Missbrauch zu erkennen.
• Verwendung temporärer Anmeldeinformationen: Implementieren Sie die Verwendung temporärer oder zeitlich begrenzter Anmeldeinformationen für privilegierte Konten, die nach einer bestimmten Zeit ablaufen.

2. Software patchen und aktualisieren

Regelmäßiges Patchen und Aktualisieren von Software, Betriebssystemen und Firmware ist unerlässlich, um bekannte Schwachstellen zu beheben und das Risiko von Privilegienerweiterungsangriffen zu verringern. Entwickeln Sie einen Patch-Management-Prozess, der Folgendes umfasst:

• Überwachung auf Updates: Behalten Sie den Überblick über Sicherheitspatches und Updates von Softwareanbietern. Nutzen Sie nach Möglichkeit die Automatisierung von Tools oder Prozessen.
• Priorisierung von Patches: Priorisieren Sie Patches basierend auf der Schwere der Sicherheitslücken und den potenziellen Auswirkungen auf Ihre Systeme.
• Testen und Bereitstellen: Testen Sie Patches in einer kontrollierten Umgebung, bevor Sie sie auf Produktionssystemen bereitstellen, um potenzielle Kompatibilitätsprobleme oder Störungen zu vermeiden.
• SCA und SAST: Vergessen Sie nicht die Software-Kompositionsanalyse und statische Anwendungssicherheitstests. Wenn Sie Webtools von Drittanbietern verwenden, stellen Sie sicher, dass Ihre Bibliotheken beim Entwicklerteam auf dem neuesten Stand sind.
• Änderungstickets: Benachrichtigen Sie Ihr Security Operations-Team, wenn Sie bestimmte Änderungen vornehmen, die sich auf seine Funktion oder Vision im gesamten Unternehmen auswirken könnten.

3. Führen Sie Schwachstellenscans durch

Regelmäßige Schwachstellen-Scans helfen dabei, potenzielle Schwachstellen, Fehlkonfigurationen und Sicherheitslücken in Ihren Systemen zu identifizieren, die bei einem Angriff mit Privilegienerweiterung ausgenutzt werden könnten. Implementieren Sie ein Schwachstellen-Management-Programm, das Folgendes umfasst:

• Regelmäßige Scans: Planen Sie regelmäßige Schwachstellen-Scans für Ihre Systeme und Netzwerke ein. Dazu gehören, wie oben erwähnt, regelmäßige Sicherheitstests für Anwendungen auf Schwachstellen und bekannte Exploits in Entwicklertools (z. B. JexBoss, Apache Struts).
• Behebung: Richten Sie einen Prozess zur Priorisierung und Behebung identifizierter Schwachstellen basierend auf ihrem Schweregrad und ihren potenziellen Auswirkungen ein. Dies kann, sofern möglich, auch ein Upgrade von LDAP auf LDAPS und von NTLM auf Kerberos umfassen.
• Validierung: Stellen Sie sicher, dass die Schwachstellen erfolgreich behoben wurden und dass während des Vorgangs keine neuen Schwachstellen entstanden sind.

4. Überwachen Sie den Netzwerkverkehr und das Verhalten

Die Überwachung des Netzwerkverkehrs und des Benutzerverhaltens kann dazu beitragen, potenzielle Angriffe auf die Rechteausweitung zu erkennen oder Anzeichen für unbefugten Zugriff zu identifizieren. Implementieren Sie Lösungen zur Netzwerk- und Verhaltensüberwachung, beispielsweise:

• Intrusion Detection Systems (IDS): Verwenden Sie IDS, um den Netzwerkverkehr auf Anzeichen von Eindringlingen oder böswilligen Aktivitäten zu überwachen.
• Sicherheitsinformations- und Ereignismanagement (SIEM): Setzen Sie SIEM-Tools ein, um Protokolldaten aus verschiedenen Quellen zu sammeln, zu analysieren und zu korrelieren und so potenzielle Sicherheitsvorfälle zu identifizieren.
• Analyse des Benutzer- und Entitätsverhaltens (UEBA): Implementieren Sie UEBA-Lösungen, um das Benutzerverhalten auf Anzeichen ungewöhnlicher oder verdächtiger Aktivitäten zu überwachen und zu analysieren, die auf unbefugten Zugriff oder Versuche zur Rechteausweitung hinweisen können.

5. Setzen Sie eine starke Passwortrichtlinie durch

Eine starke Kennwortrichtlinie verringert das Risiko unbefugten Zugriffs und der Ausweitung von Berechtigungen durch Kennwortangriffe. Stellen Sie sicher, dass Ihre Kennwortrichtlinie Folgendes umfasst:

• Komplexität: Verlangen Sie, dass Passwörter eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
• Länge: Erzwingen Sie eine Mindestlänge für Passwörter, normalerweise 12–16 Zeichen.
• Passwortrotation: Legen Sie eine Passwort-Ablaufzeit fest, die Benutzer dazu verpflichtet, ihre Passwörter regelmäßig zu ändern. Stellen Sie sicher, dass Passwörter mindestens drei Zyklen lang nicht wiederholt werden können.
• Kontosperrung: Implementieren Sie Kontosperrungsrichtlinien, um Konten nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche zu sperren und so das Risiko von Brute-Force-Angriffen zu verringern.

6. Führen Sie Schulungen zum Sicherheitsbewusstsein durch

Informieren Sie Ihre Mitarbeiter über die Risiken von Privilegienausweitungsangriffen und die Bedeutung bewährter Sicherheitspraktiken. Schulungen zum Sicherheitsbewusstsein sollten Folgendes umfassen:

• Erkennen von Social-Engineering-Taktiken: Schulen Sie Ihre Mitarbeiter darin, Phishing-Versuche, Vortäuschung von Vorwänden und andere Social-Engineering-Taktiken zu erkennen und darauf zu reagieren, die zum Erlangen eines unbefugten Zugriffs verwendet werden könnten.
• Sichere Kennwortpraktiken: Klären Sie Benutzer darüber auf, wie wichtig es ist, sichere und eindeutige Kennwörter zu erstellen und diese niemals an andere weiterzugeben.
• Melden verdächtiger Aktivitäten: Ermutigen Sie Ihre Mitarbeiter, alle ungewöhnlichen oder verdächtigen Aktivitäten zu melden, die ihnen auffallen, wie etwa unerwartete Änderungen von Berechtigungen oder unbefugte Zugriffsversuche.
• Befolgen Sie die Sicherheitsrichtlinien Ihres Unternehmens: Stellen Sie sicher, dass Ihre Mitarbeiter die Sicherheitsrichtlinien und -verfahren Ihres Unternehmens verstehen und einhalten, einschließlich der Richtlinien und Verfahren zur Zugriffskontrolle, zu Software-Updates und zur Verwaltung privilegierter Konten.
• Regelmäßige Schulungen und Updates: Führen Sie regelmäßig Schulungen zum Sicherheitsbewusstsein durch und informieren Sie Ihre Mitarbeiter über neue Bedrohungen, Schwachstellen und bewährte Methoden, um geschützt zu bleiben.

So erkennt Exabeam eine Privilegienerweiterung

Privilegierte Aktivitäten, Eskalation und Missbrauch sind drei häufige Indikatoren in den allgemeinen Anwendungsfallkategorien „böswilliger Insider“ und „kompromittierte Anmeldeinformationen“.

Zeichen und Indikatoren werden durch Signale von folgenden Quellen gesammelt:

• Physische Zugangskontrollen
• Endpunktüberwachung
• Firewalls
• Zutrittsmanagementsysteme
• Endpunktschutz
• VPNs
• ID als Service (SSO usw.)
• PAM-Geräte
• Dateifreigabe
• E-Mail-Sicherheit
• Und viele mehr

Erfahren Sie mehr über die Verwendung von Exabeam zur Verhinderung dieses Angriffs in unserem Blog Privilegieneskalation Detection: The Key to Preventing Advanced Attacks“