O que é escalonamento de privilégios?

O sequestro de conta é uma das formas mais comuns pelas quais hackers obtêm acesso não autorizado a sistemas de destino. De acordo com o IBM X-Force Threat Intelligence Index, 30% dos ataques cibernéticos usam contas roubadas para invadir um sistema. Os invasores geralmente têm como alvo contas de baixo nível porque são mais fáceis de sequestrar do que contas de administrador bem protegidas.

Depois que obtém o acesso inicial, o invasor pode explorar vulnerabilidades do sistema e aplicar técnicas como engenharia social para elevar seus privilégios. Com privilégios elevados, os invasores conseguem executar atividades maliciosas com mais facilidade, como roubo de dados sensíveis, instalação de ransomware ou interrupção de sistemas. 

Hackers que realizam ataques de escalada de privilégios começam acessando uma conta de usuário comum ou convidado. Depois de entrar no sistema, exploram vulnerabilidades e falhas nas defesas de cibersegurança para aumentar seus privilégios.

Os agentes da ameaça começam com contas de nível mais baixo porque elas são mais fáceis de sequestrar. Há mais contas de baixo nível do que contas de usuário privilegiado, o que significa que a superfície de ataque geral é maior. Contas de baixo nível também tendem a ter menos controles de segurança. Os hackers assumem essas contas de baixo nível por meio de técnicas como roubo de credenciais e phishing.

Há mais contas de baixo nível do que contas com privilégios elevados, o que amplia a superfície de ataque como um todo. As organizações limitam intencionalmente as permissões dessas contas para impedir o acesso a dados sensíveis e a interação com ativos críticos.

Por isso, os invasores procuram formas de obter acesso privilegiado a partir de dentro do sistema.

Em termos gerais, eles têm duas maneiras de fazer isso: podem aumentar os privilégios da conta que roubaram ou sequestrar a conta de um usuário mais privilegiado, como um administrador do sistema. Com acesso privilegiado, os invasores conseguem interagir com aplicações, bancos de dados e outros recursos que podem conter informações sensíveis.

Os hackers podem permanecer ocultos no sistema por longos períodos de tempo enquanto realizam reconhecimento e procuram oportunidades para aumentar seus privilégios. Durante esse período, eles podem instalar backdoors que lhes permitem reentrar na rede se forem detectados.

Conforme os hackers exploram a rede, eles podem migrar horizontal ou verticalmente.

Também conhecido como movimento lateral, o escalonamento horizontal de privilégios ocorre quando um invasor acessa uma conta com um nível semelhante de permissões. Mesmo sem obter novos privilégios, a movimentação lateral permite que os hackers ampliem seu alcance, coletem mais informações e causem mais danos.

Por exemplo, um invasor pode assumir o controle de várias contas de usuários em uma aplicação bancária on-line. Essas contas podem não elevar os privilégios do invasor dentro do sistema, mas permitem que ele acesse as contas bancárias de vários usuários. 

Também conhecida como elevação de privilégios, a escalada vertical de privilégios está passando de privilégios mais baixos para privilégios mais altos, geralmente mudando de uma conta de usuário básica para uma conta com privilégios administrativos. 

Os hackers também podem realizar escalada vertical de privilégios explorando falhas e configurações incorretas do sistema para elevar os privilégios da conta que já controlam.

Para muitos invasores, o objetivo da escalada vertical de privilégios é obter acesso root. Uma conta root possui acesso praticamente ilimitado a todos os programas, arquivos e recursos do sistema. Com esses privilégios, os hackers podem alterar configurações do sistema, executar comandos, instalar malware e assumir controle total dos ativos da rede.

Vetores de ataque típicos para escalada de privilégios incluem:

• Credenciais comprometidas
• Exploração de vulnerabilidade
• Configuração incorreta
• Malware
• Engenharia social
• Explorações de sistema operacional

O uso de credenciais roubadas ou comprometidas é uma das técnicas de escalonamento de privilégios mais comuns. Também é o método mais simples para obter acesso não autorizado à conta.

Os hackers podem obter credenciais por meio de phishing, violações de dados ou ataques de força bruta, nos quais tentam adivinhar os nomes de usuário e senhas de contas legítimas.

Os hackers muitas vezes aproveitam vulnerabilidades de software, como defeitos não corrigidos ou erros de programação, para escalar os privilégios da conta.

Uma técnica comum é um ataque de estouro de buffer. Aqui, o invasor envia mais dados para um bloco de memória do que um programa pode processar. O programa responde sobrescrevendo blocos de memória adjacentes, o que pode alterar o modo de funcionamento do programa. Os hackers podem aproveitar isso para injetar códigos maliciosos no programa.

Para escalar privilégios, invasores podem usar ataques de estouro de buffer para abrir shells remotas com os mesmos privilégios da aplicação vulnerável.

Erros de configuração em permissões, serviços ou ajustes do sistema operacional podem abrir várias brechas para que hackers contornem as medidas de segurança.

Por exemplo, uma solução de gerenciamento de identidade e acesso (IAM) mal configurada pode conceder aos usuários mais permissões do que o necessário. Um banco de dados sensível exposto acidentalmente na web pública pode dar acesso imediato aos hackers. 

Os hackers podem usar seu acesso inicial ao sistema para descartar cargas maliciosas que instalam backdoors, registrar pressionamentos de tecla e espionar outros usuários. Os hackers então usam os recursos do malware para coletar credenciais e acessar contas administrativas.

Hackers usam engenharia social para manipular pessoas a compartilharem informações confidenciais, baixarem malware ou acessarem sites maliciosos.

A engenharia social é uma técnica comum utilizada em ataques de escalonamento de privilégios. Invasores frequentemente conseguem acesso inicial ao utilizar engenharia social para roubar credenciais de contas com baixo nível de privilégio. Depois de entrar na rede, hackers recorrem à engenharia social para enganar outros usuários e fazê-los compartilhar credenciais ou conceder acesso a ativos confidenciais.

Por exemplo, um invasor pode usar uma conta de funcionário comprometida para enviar e-mails de phishing a outros colaboradores. Como o e-mail de phishing parte de uma conta legítima, os alvos têm mais chance de acreditar nele.

Os atacantes que realizam escalonamento de privilégios frequentemente exploram vulnerabilidades presentes em sistemas operacionais específicos. Microsoft Windows e Linux estão entre os alvos preferenciais devido à ampla adoção e à complexidade de suas estruturas de permissão.

Invasores costumam analisar o código aberto do Linux em busca de formas de realizar ataques de escalonamento de privilégios.

Um alvo comum é o programa Sudo do Linux, que os administradores utilizam para conceder temporariamente direitos administrativos a usuários comuns. Se um invasor comprometer uma conta de usuário com acesso ao Sudo, ele também adquire esses direitos administrativos. Com esses privilégios elevados, os invasores conseguem executar comandos maliciosos.

Outra técnica consiste em usar enumeração para obter nomes de usuário do Linux. os invasores primeiro acessam o shell do sistema Linux, geralmente por meio de um servidor FTP mal configurado. Em seguida, eles executam comandos que listam, ou “enumeram”, todos os usuários presentes no sistema. Com a lista de nomes de usuário em mãos, os invasores aplicam força bruta ou outros métodos para assumir o controle de cada conta. 

Como o Windows é amplamente utilizado por empresas, ele se tornou um dos principais alvos de ataques de escalonamento de privilégios.

Uma abordagem comum é ignorar o controle de conta de usuário (UAC) do Windows. O UAC determina se um usuário tem acesso a privilégios padrão ou administrativos. Se o UAC não tiver um alto nível de proteção, os invasores poderão emitir determinados comandos para contorná-lo. Os invasores podem então acessar os privilégios de root.

O sequestro de biblioteca de link dinâmico (DLL) é outro vetor de ataque do Windows. Uma Dell é um arquivo que contém código usado por vários recursos do sistema ao mesmo tempo.

Os invasores primeiro colocam um arquivo infectado no mesmo diretório que a Dell legítima. Quando um programa procura a SSD real, ele chama o arquivo do invasor. O arquivo infectado executa um código malicioso que ajuda o ataque a aumentar seus privilégios.

Uma postura de zero trust, que considera cada usuário como uma possível ameaça cibernética, ajuda a reduzir o risco de escalonamento de privilégios. Outros controles de segurança comumente utilizados para prevenir e detectar o escalonamento de privilégios incluem:

• Senhas fortes
• Gerenciamento de correção
• Princípio do menor privilégio
• Autenticação de diversos fatores (MFA)
• Proteção de endpoints
• Análise do comportamento do usuário