Leser wie Sie helfen, MUO zu unterstützen. Wenn Sie über Links auf unserer Website einen Kauf tätigen, erhalten wir möglicherweise eine Affiliate-Provision.
Alle Netzwerke und Betriebssysteme, egal wie fortschrittlich oder sicher, weisen Fehler und Schwachstellen auf, die von Angreifern auf die eine oder andere Weise ausgenutzt werden können.
Diese Sicherheitslücken ermöglichen Privilegien-Eskalationsangriffe, bei denen es sich um Cyberangriffe handelt, die darauf abzielen, unbefugten und privilegierten Zugriff auf ein verletztes System zu erlangen.
Horizontal vs. Vertikale Rechteausweitung
Jedes Betriebssystem hat eingebaute Mechanismen, die zwischen verschiedenen Berechtigungsstufen unterscheiden; zwischen Administratoren, Hauptbenutzern, normalen Benutzern, Gästen usw. Das Ziel eines Privilegieneskalationsangriffs ist es, die höchste Privilegienstufe zu erreichen, obwohl dies nicht immer möglich ist.
Vor diesem Hintergrund ist es wichtig zu verstehen, dass es zwei Hauptarten der Rechteausweitung gibt: horizontal und vertikal. Beide sind gefährlich, aber die Unterschiede zwischen ihnen sind signifikant.
Bei einem horizontalen Rechteausweitungsangriff verschafft sich ein Bedrohungsakteur Zugriff auf ein Konto und bewegt sich dann horizontal über ein Netzwerk, um Zugriff auf andere Konten mit denselben oder ähnlichen Konten zu erhalten Privilegien. Und bei einem vertikalen Privilegien-Eskalationsangriff versucht ein Cyberkrimineller, sich innerhalb eines Netzwerks vertikal zu bewegen: Er kompromittiert einen Benutzer und versucht dann, andere Benutzer mit mehr Privilegien zu kompromittieren.
Wie die Privilegienausweitung stattfindet
Cyberkriminelle verwenden alle möglichen Techniken, von denen einige komplexer als andere sind, um in ein System einzudringen. Diese lassen sich in drei Kategorien einteilen.
1. Soziale Entwicklung
In der Cybersicherheit bezieht sich der Begriff Social Engineering auf jeden Versuch eines Bedrohungsakteurs ein Ziel manipulieren ins Handeln kommen. Dazu gehört in der Regel, sich als legitime Entität auszugeben.
Ein Angreifer könnte beispielsweise eine Phishing-E-Mail an einen untergeordneten Mitarbeiter eines Unternehmens senden. Fällt der Mitarbeiter darauf herein, bekommt der Angreifer seinen Fuß durch die Tür eines Systems. Dann versuchen sie, ihre Privilegien auszuweiten. Es gibt auch Vishing (Voice Phishing) Social-Engineering-Angriffe – sie beziehen den Angreifer mit ein Kontaktaufnahme mit der Zielperson und Vortäuschung einer Autoritätsperson, z. B. einer Strafverfolgungsbehörde oder einer IT Fachmann.
Ein Cyberkrimineller kann auch Scareware einsetzen, ein bösartiges Programm, das dem Opfer vorgaukelt, es zu glauben Software herunterladen oder Maßnahmen ergreifen müssen, um einen Virus loszuwerden, sondern sie tatsächlich zum Herunterladen anweisen Malware. Spear-Phishing-, Whaling- und Pharming-Angriffe sind ebenfalls recht häufig.
2. Malware
Malware (d. h. bösartige Software) kann verwendet werden, um sowohl in ein System einzudringen als auch eine Rechteausweitung durchzuführen, sobald es sich darin befindet. Wenn ein Angreifer beispielsweise eine Möglichkeit sieht, eine vertikale Rechteausweitung durchzuführen, kann er Rootkits einsetzen und im Wesentlichen die vollständige Kontrolle über ein System erlangen.
Andererseits kann Ransomware besonders nützlich für die horizontale Rechteausweitung sein, da sie dazu neigt, sich schnell zu verbreiten, mit dem Ziel, alle Daten zu sperren, auf die sie zugreifen kann. Würmer werden auch bei der horizontalen Rechteausweitung verwendet, da sie sich standardmäßig selbst replizieren.
Spyware-Angriffe sind eine weitere großartige Möglichkeit für Bedrohungsakteure, in ein System einzudringen. Wenn es einem Cyberkriminellen gelingt, Spyware auf einem System bereitzustellen, erhalten sie die Möglichkeit dazu Benutzeraktivitäten überwachen, die Tastatureingaben oder Screenshots enthält. Auf diese Weise können sie Zugriff auf Benutzeranmeldeinformationen erhalten, Konten kompromittieren und eine Rechteausweitung durchführen.
3. Anmeldedatenbasierte Angriffe
Um die Sicherheit eines Unternehmens zu umgehen, setzen Cyberkriminelle auch auf Anmeldeinformationen basierende Angriffe ein, deren Ziel es ist, auf die Passwörter und Benutzernamen von Benutzern zuzugreifen. Organisationen, die keine Zwei-Faktor-Authentifizierung verwenden, sind besonders anfällig für diese Angriffe, weil Mitarbeiter neigen dazu, Passwörter wiederzuverwenden, sie mit Kollegen zu teilen oder sie im Klartext auf ihrem zu speichern Computers.
Es gibt viele Möglichkeiten für Cyberkriminelle, Zugang zu Anmeldeinformationen zu erhalten, einschließlich Pass-the-Hash-Angriffe und Credential Stuffing, bei dem Listen mit Benutzernamen und Passwörtern verwendet werden, die bei früheren Verstößen aufgedeckt und im Dark Web durchgesickert sind. Passwort-Spraying und Brute-Force-Angriffe sind weniger verbreitet, kommen aber immer noch vor. Das Gleiche gilt für das Schultersurfen, bei dem es darum geht, die Aktionen privilegierter Benutzer durch Keylogger und ähnliche bösartige Software, über Spionagekameras oder sogar persönlich zu verfolgen.
Anmeldedatenbasierte Angriffe sind besonders gefährlich, da Angreifer gestohlene Anmeldedaten verwenden können, um sich unentdeckt in einem System zu bewegen und dabei die Berechtigungen zu eskalieren.
Bedrohungsakteure können alle Kombinationen der oben genannten verwenden, wenn sie auf ein System zielen. Diese Angriffsmethoden sind oft auf mehr als eine Weise miteinander verflochten. Ein einziger Riss in einem beliebigen System oder Netzwerk, egal wie scheinbar winzig oder peripher, kann einem Cyberkriminellen eine Öffnung bieten, um die Verteidigung eines Unternehmens zu durchdringen. Und sobald sie in ein Netzwerk eindringen, werden sie nach Möglichkeiten suchen, ihre Privilegien zu eskalieren und zuschlagen.
So verhindern Sie Privilege Escalation-Angriffe
Privilege Escalation Attacks richten sich fast ausschließlich an Organisationen und nicht an Einzelpersonen, sodass der Schutz vor ihnen einen allumfassenden und ganzheitlichen Sicherheitsansatz erfordert.
Jedes seriöse Unternehmen muss strenge administrative Kontrollen einrichten – eine Reihe von Vorschriften, die alle Mitarbeiter verstehen und jederzeit respektieren müssen. Dies hat in erster Linie damit zu tun, strenge Regeln für die Gewährung von Zugriffen aufzustellen bzw. sicherzustellen, dass Mitarbeiter nur Zugriff auf das haben, was sie zur ordnungsgemäßen Erfüllung ihrer Aufgaben benötigen. Nicht einmal Administratoren oder Hauptbenutzer sollten umfassende Berechtigungen haben.
Insider-Bedrohungen, ob bösartig oder nicht bösartig, sind die häufigste Ursache für Datenschutzverletzungen. Aus diesem Grund ist es unerlässlich, eine strenge Passwortrichtlinie zu haben. Zu einer guten Passwortrichtlinie gehören die Verwendung komplexer Passwörter, regelmäßige Passwortänderungen, Zwei- oder Mehr-Faktor-Authentifizierung und klar definierte Richtlinien für die Passwortverwaltung.
Darüber hinaus sind technische Kontrollen als solche die Grundlage jeder guten Sicherheitsvorkehrung. Es ist entscheidend, starke Verschlüsselungsprotokolle zu verwenden, starke und zuverlässige Anti-Malware-Software zu installieren und zu installieren Firewalls und beheben regelmäßig alle Schwachstellen in einem System, sei es durch Patches und Updates oder andere Sicherheitsvorkehrungen.
Der beste Weg, sich gegen die Eskalation von Berechtigungen zu verteidigen
Jede Software ist anfällig für Cyberangriffe, die von Tag zu Tag raffinierter werden. Fügen Sie dem Mix Insider-Bedrohungen hinzu, und es ist leicht zu verstehen, warum jedes Unternehmen, unabhängig von seiner Größe, einen angemessenen Schutz benötigt, um vor Datendiebstahl und anderen Bedrohungen geschützt zu sein.
Es gibt vielleicht keine Einheitslösung für Cybersicherheit, aber es gibt eine Reihe verschiedener Möglichkeiten, das Thema effektiv anzugehen. Und der wohl beste Weg, ein System abzusichern, ist der Aufbau einer Zero-Trust-Sicherheitsinfrastruktur, da sie Ebenen der Berechtigungskontrolle und Authentifizierungsmechanismen umfasst.
