權(quán)限提升是 利用 操作系統(tǒng)或應(yīng)用程序 中的編程錯(cuò)誤、 漏洞、設(shè)計(jì)缺陷、配置監(jiān)督或 訪問控制來獲得對(duì)通常被應(yīng)用程序或用戶限制的資源的未經(jīng)授權(quán)的訪問。這導(dǎo)致應(yīng)用程序或用戶擁有比開發(fā)人員或系統(tǒng)管理員預(yù)期更多的權(quán)限,從而允許攻擊者訪問 敏感數(shù)據(jù)、安裝 惡意軟件 并發(fā)起其他 網(wǎng)絡(luò)攻擊。
權(quán)限提升如何工作?
大多數(shù)計(jì)算機(jī)系統(tǒng)都設(shè)計(jì)為與多個(gè)用戶帳戶一起使用,每個(gè)帳戶都具有稱為特權(quán)的能力。通用權(quán)限包括查看、編輯或修改文件的能力。權(quán)限提升是指攻擊者通過利用目標(biāo)系統(tǒng)或應(yīng)用程序中的權(quán)限提升漏洞獲得他們無權(quán)獲得的權(quán)限,這使他們可以覆蓋當(dāng)前用戶帳戶的限制。權(quán)限提升是惡意用戶獲取系統(tǒng)初始訪問權(quán)限的常用方法。攻擊者首先找到組織網(wǎng)絡(luò)安全中的弱點(diǎn), 以初步滲透到系統(tǒng)中。
在許多情況下,第一個(gè)滲透點(diǎn)不會(huì)為攻擊者提供他們需要的文件系統(tǒng)的訪問級(jí)別或訪問權(quán)限。然后,他們將嘗試提升權(quán)限以獲得更多權(quán)限或訪問其他更敏感的系統(tǒng)。在某些情況下,嘗試提權(quán)的攻擊者發(fā)現(xiàn)大門是敞開的。信息安全不足 、未遵循 最小權(quán)限原則 以及缺乏 縱深防御, 使普通用戶獲得的權(quán)限超出了他們的需要。在其他情況下,攻擊者利用糟糕的修補(bǔ)節(jié)奏、 零日漏洞 或使用特定技術(shù)來克服操作系統(tǒng)的權(quán)限機(jī)制。
為什么防止特權(quán)升級(jí)很重要?
雖然權(quán)限提升通常不是攻擊者的最終目標(biāo),但它經(jīng)常用于準(zhǔn)備更具體的網(wǎng)絡(luò)攻擊,允許入侵者部署惡意負(fù)載、調(diào)整安全設(shè)置并在目標(biāo)系統(tǒng)中打開額外的攻擊向量。
每當(dāng)您檢測(cè)或懷疑特權(quán)升級(jí)時(shí),請(qǐng)使用 數(shù)字取證 來查找其他惡意活動(dòng)的跡象,例如 計(jì)算機(jī)蠕蟲、 惡意軟件、 企業(yè)間諜活動(dòng)、 數(shù)據(jù)泄露、 數(shù)據(jù)泄露、 中間人攻擊 和被盜 的個(gè)人身份信息 (PII), 受保護(hù)的健康信息 (PHI)、 心理數(shù)據(jù) 或 生物特征。
即使沒有進(jìn)一步攻擊的證據(jù),特權(quán)升級(jí)事件也代表著重大的 網(wǎng)絡(luò)安全風(fēng)險(xiǎn) ,因?yàn)檫@意味著有人未經(jīng)授權(quán)訪問特權(quán)帳戶和機(jī)密或敏感信息。在許多行業(yè)中,這些事件需要在內(nèi)部和相關(guān)當(dāng)局報(bào)告,以確保合規(guī)。
特權(quán)提升的兩種類型是什么?
有兩種主要的權(quán)限提升技術(shù):
- 垂直權(quán)限提升(權(quán)限提升): 攻擊者試圖獲得更高的權(quán)限或使用他們已經(jīng)破壞的現(xiàn)有帳戶進(jìn)行訪問。例如,攻擊者接管網(wǎng)絡(luò)上的常規(guī)用戶帳戶并嘗試獲得管理權(quán)限。通常是 Microsoft Windows 上的管理員或系統(tǒng)用戶,或 Unix 和 Linux 系統(tǒng)上的 root。一旦他們獲得提升的權(quán)限,攻擊者就可以竊取有關(guān)特定用戶的 敏感數(shù)據(jù),安裝勒索軟件、 間諜軟件 或其他 類型的惡意軟件,執(zhí)行惡意代碼并破壞您組織的安全狀況。
- 橫向權(quán)限提升: 攻擊者通過接管特權(quán)帳戶并濫用授予用戶的合法權(quán)限來擴(kuò)展其權(quán)限。對(duì)于本地權(quán)限提升攻擊,這可能意味著劫持具有管理員權(quán)限或 root 權(quán)限的帳戶,對(duì)于 Web 應(yīng)用程序可能意味著獲得對(duì)用戶銀行帳戶或 SaaS 應(yīng)用程序管理員帳戶的訪問權(quán)限。
什么是特權(quán)提升的例子?
三種常見的權(quán)限提升技術(shù)是:
- 訪問令牌操作: 利用 Microsoft Windows 管理管理員權(quán)限的方式。通常,Windows 使用訪問令牌來確定正在運(yùn)行的進(jìn)程的所有者。通過令牌操作,攻擊者欺騙系統(tǒng),使其相信正在運(yùn)行的進(jìn)程屬于不同的用戶,而不是實(shí)際啟動(dòng)進(jìn)程的用戶。發(fā)生這種情況時(shí),該進(jìn)程將采用與攻擊者的訪問令牌相關(guān)聯(lián)的安全上下文。這是特權(quán)提升或垂直特權(quán)提升的一種形式。
- 繞過用戶帳戶控制: Windows 有一種用于控制用戶權(quán)限的結(jié)構(gòu)化機(jī)制,稱為用戶帳戶控制 (UAC),它充當(dāng)普通用戶和管理員之間的屏障,限制標(biāo)準(zhǔn)用戶權(quán)限,直到管理員授權(quán)增加權(quán)限。但是,如果計(jì)算機(jī)上的 UAC 保護(hù)級(jí)別未正確配置,則某些 Windows 程序?qū)⒈辉试S提升權(quán)限或執(zhí)行組件對(duì)象模型 (COM) 對(duì)象,而無需先請(qǐng)求管理員權(quán)限。例如,rundll32.exe 可以加載動(dòng)態(tài)鏈接庫 (DLL),該動(dòng)態(tài)鏈接庫 (DLL) 會(huì)加載具有提升權(quán)限的 COM 對(duì)象,從而允許攻擊者繞過 UAC 并獲得對(duì)受保護(hù)目錄的訪問權(quán)限。
- 使用有效帳戶: 攻擊者未經(jīng)授權(quán)訪問具有提升權(quán)限的管理員或用戶,并使用它登錄敏感系統(tǒng)或創(chuàng)建自己的登錄憑據(jù)。
如何防止權(quán)限提升攻擊
攻擊者使用許多權(quán)限提升技術(shù)來實(shí)現(xiàn)他們的目標(biāo)。好消息是,如果您可以快速檢測(cè)到成功或嘗試的權(quán)限提升攻擊,您就有很大的機(jī)會(huì)在入侵者發(fā)動(dòng)主要攻擊之前阻止他們。
為了首先嘗試提權(quán),攻擊者通常需要獲得對(duì)特權(quán)較低的帳戶的訪問權(quán)限。這意味著普通用戶帳戶是您的第一道防線,請(qǐng)確保投資于強(qiáng)大的 訪問控制:
- 實(shí)施密碼策略: 提高安全性的最簡(jiǎn)單方法之一是實(shí)施安全密碼。不要重復(fù)使用密碼,因?yàn)樗鼈兛赡軙?huì)在 大數(shù)據(jù)泄露中暴露出來。 請(qǐng)參閱我們的指南,了解如何創(chuàng)建強(qiáng)密碼 并投資工具以 持續(xù)監(jiān)控泄露的憑據(jù)。
- 創(chuàng)建具有最低必要權(quán)限和文件訪問權(quán)限的專用用戶和組:安全上下文中的最低權(quán)限原則 是指僅向普通用戶提供他們完成工作所需的一組權(quán)限,僅此而已。 閱讀我們的訪問控制指南了解更多信息。雖然為每個(gè)用??戶提供對(duì)所有資源的相同訪問級(jí)別很方便,但它為攻擊者提供了進(jìn)入您組織的單點(diǎn)入口,在您的 數(shù)據(jù)安全、 信息安全 和 網(wǎng)絡(luò)安全工作中采用深度防御要安全得多 。
- 投資于網(wǎng)絡(luò)安全意識(shí)培訓(xùn): 即使您的組織擁有強(qiáng)大、強(qiáng)制執(zhí)行的密碼策略,網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚等社會(huì)工程攻擊也可能導(dǎo)致網(wǎng)絡(luò)犯罪分子訪問您的敏感系統(tǒng)。對(duì)您的員工和第三方供應(yīng)商進(jìn)行常見 網(wǎng)絡(luò)威脅 以及如何避免它們的教育。啟用 DMARC 以防止 電子郵件欺騙 并購買潛在 的仿冒 域名。
對(duì)于應(yīng)用程序的安全性,至關(guān)重要的是:
- 避免應(yīng)用程序中的常見編程錯(cuò)誤: 遵循最佳實(shí)踐以避免攻擊者針對(duì)的常見錯(cuò)誤,例如緩沖區(qū)溢出、代碼注入和未經(jīng)驗(yàn)證的用戶輸入。 閱讀我們的服務(wù)器強(qiáng)化指南, 并 投資一個(gè)工具來監(jiān)控意外數(shù)據(jù)泄露。
- 保護(hù)數(shù)據(jù)庫并清理用戶輸入: 數(shù)據(jù)庫是有吸引力的目標(biāo),因?yàn)樵S多 Web 應(yīng)用程序?qū)?敏感數(shù)據(jù)存儲(chǔ) 在數(shù)據(jù)庫中,包括登錄憑據(jù)、用戶數(shù)據(jù)和支付方式。一次 SQL 注入可以讓攻擊者訪問所有這些信息,并允許他們發(fā)起額外的 網(wǎng)絡(luò)攻擊。糟糕的 配置管理 會(huì)導(dǎo)致 數(shù)據(jù)泄露 ,這就是為什么對(duì) 靜態(tài) 和傳輸中的數(shù)據(jù) 進(jìn)行加密很重要的原因。
并非所有的權(quán)限提升都依賴于用戶帳戶,可以通過利用應(yīng)用程序操作系統(tǒng)和 配置管理中的漏洞來獲得管理員權(quán)限,通過以下方式最小化您的攻擊面:
- 保持系統(tǒng)和應(yīng)用程序更新: 許多攻擊 利用CVE中 列出的 已知 漏洞。通過保持一致的修補(bǔ)節(jié)奏,您可以最大限度地減少這種 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
- 確保文件、目錄和 Web 服務(wù)器的權(quán)限正確: 遵循 最小權(quán)限原則,檢查 S3 安全設(shè)置 ,確保只有需要訪問的人才能訪問。
- 關(guān)閉不必要的端口并刪除未使用的帳戶:默認(rèn)系統(tǒng)配置通常包括在開放端口上運(yùn)行的不必要服務(wù)和任意代碼,每一個(gè)都是潛在的 攻擊向量。刪除默認(rèn)和未使用的帳戶,以避免攻擊者和前雇員訪問敏感系統(tǒng)。
- 避免使用默認(rèn)登錄憑據(jù):這似乎很明顯,但許多組織未能更改其設(shè)備(例如打印機(jī)、路由器和物聯(lián)網(wǎng)設(shè)備)上的默認(rèn)登錄憑據(jù)。無論您的 網(wǎng)絡(luò)安全性有多安全 ,一臺(tái)路由器使用默認(rèn)的管理員/密碼登錄憑據(jù)可能足以讓攻擊者入侵。
- 刪除或限制文件傳輸功能: FTP、TFPT、wget、curl等文件傳輸功能是下載和執(zhí)行惡意代碼或惡意可寫的常用方式。考慮刪除這些工具或?qū)⑺鼈兊氖褂孟拗圃谔囟夸洝⒂脩艉蛻?yīng)用程序中。
請(qǐng)記住 ,信息風(fēng)險(xiǎn)管理 和 信息安全政策 不能止步于您的組織:
- 監(jiān)控您的第三方和第四方供應(yīng)商: 攻擊者可以利用您的供應(yīng)商訪問您的組織。這就是為什么 供應(yīng)商風(fēng)險(xiǎn)管理 是防止特權(quán)升級(jí)攻擊的基本部分。請(qǐng)記住,供應(yīng)商風(fēng)險(xiǎn)管理是 FISMA、 GLBA、 PIPEDA 和 NIST 網(wǎng)絡(luò)安全框架的監(jiān)管要求。
- 避開網(wǎng)絡(luò)安全性較差的供應(yīng)商: 詢問供應(yīng)商的SOC 2報(bào)告和信息安全政策。
- 使您的供應(yīng)商風(fēng)險(xiǎn)管理現(xiàn)代化: 開發(fā) 風(fēng)險(xiǎn)評(píng)估方法、 第三方風(fēng)險(xiǎn)管理框架 和 供應(yīng)商管理政策。考慮使用已建立的 供應(yīng)商風(fēng)險(xiǎn)評(píng)估問卷模板 ,您可以使用該模板來了解供應(yīng)商的安全狀況。
- 自動(dòng)化供應(yīng)商風(fēng)險(xiǎn)管理: 投資一種工具,該工具可以 根據(jù) 50 多個(gè)標(biāo)準(zhǔn)對(duì)供應(yīng)商的安全狀況進(jìn)行評(píng)級(jí) ,并為其分配 安全評(píng)級(jí)。這可以大大降低您的第三方風(fēng)險(xiǎn)和第四方風(fēng)險(xiǎn)。
如果您想了解您組織的外部安全狀況, 請(qǐng)使用我們的免費(fèi)安全掃描程序查看您的外部攻擊面。
