Qu’est-ce que l’élévation des privilèges ?
L’élévation des privilèges est une technique de cyberattaque dans laquelle un acteur de la menace modifie ou élève ses autorisations dans un système cible, par exemple en passant d’un compte utilisateur de base avec des privilèges limités à un compte administrateur de niveau supérieur.
Le piratage de compte est l’un des moyens les plus courants pour les cybercriminels d’obtenir un accès non autorisé aux systèmes cibles. Selon l’IBM X-Force Threat Intelligence Index, 30 % des cyberattaques exploitent des comptes volés pour s’introduire dans un système. Les attaquants ciblent généralement les comptes de bas niveau, car ils sont plus faciles à pirater que les comptes administrateurs mieux protégés.
Une fois qu’un attaquant a obtenu un accès initial, il peut exploiter les vulnérabilités du système et recourir à des techniques telles que l’ingénierie sociale pour élever ses privilèges. Grâce à ces privilèges, les pirates peuvent plus facilement mener des activités malveillantes telles que le vol de données sensibles, l’installation de ransomware ou la perturbation des systèmes.
Renforcez vos renseignements de sécurité
Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think.
Les cybercriminels qui mènent des attaques par élévation de privilèges commencent par accéder à un compte utilisateur ou invité de niveau inférieur. Une fois à l’intérieur du système, ils exploitent les vulnérabilités et les failles des défenses de cybersécurité pour élever leurs privilèges.
Les acteurs de la menace commencent par les comptes de niveau inférieur, car ils sont plus faciles à pirater. Ceux-ci sont plus nombreux que les comptes d’utilisateurs privilégiés, ce qui signifie que la surface d’attaque globale est plus grande. Les comptes de niveau inférieur ont également tendance à présenter moins de contrôles de sécurité. Les pirates s’emparent de ces comptes à l’aide de techniques telles que le vol d’identifiants et le phishing.
Les comptes de niveau inférieur permettent aux pirates informatiques de mettre un pied dans la porte, mais ils ne sont pas très utiles une fois à l’intérieur des systèmes. Les organisations limitent intentionnellement les autorisations de ces comptes afin qu’ils ne puissent pas accéder aux données sensibles ou interagir avec les ressources critiques.
Les attaquants cherchent donc à obtenir un accès privilégié depuis l’intérieur du système.
De manière générale, les pirates ont deux moyens d’y parvenir : ils peuvent soit augmenter les privilèges du compte qu’ils ont volé, soit pirater le compte d’un utilisateur plus privilégié, tel qu’un administrateur système. Grâce à cet accès privilégié, ils peuvent interagir avec des applications, des bases de données et d’autres ressources susceptibles de contenir des informations sensibles.
Ils peuvent ainsi rester cachés dans le système pendant de longues périodes, tout en effectuant des missions de reconnaissance et en recherchant des opportunités pour élever leurs privilèges. Pendant ce temps, ils peuvent installer des portes dérobées qui leur permettront de réintégrer le réseau s’ils sont détectés.
Lorsqu’ils explorent un réseau, les pirates peuvent se déplacer horizontalement ou verticalement.
Élévation horizontale des privilèges
Également appelée mouvement latéral, l’élévation horizontale des privilèges se produit lorsqu’un attaquant accède à un compte disposant d’un niveau d’autorisation similaire. Bien qu’ils n’obtiennent pas de nouvelles autorisations, le déplacement horizontal permet aux pirates d’étendre leur portée afin de collecter davantage d’informations et de causer plus de dommages.
Par exemple, un cybercriminel peut prendre le contrôle de plusieurs comptes utilisateurs dans une application bancaire en ligne. Ces comptes ne lui confèrent pas nécessairement des autorisations supplémentaires dans le système, mais ils lui permettent d’accéder aux comptes bancaires de plusieurs utilisateurs.
Élévation verticale des privilèges
L’élévation verticale des privilèges consiste à passer de privilèges inférieurs à des privilèges supérieurs, souvent en basculant d’un compte utilisateur de base vers un compte disposant de privilèges administratifs.
Les pirates peuvent également procéder à une élévation verticale en exploitant bogues du système et erreurs de configuration pour augmenter les privilèges du compte qu’ils possèdent déjà.
Pour de nombreux cybercriminels, l’élévation verticale des privilèges a pour objectif d’obtenir des privilèges root. Un compte root dispose d’un accès pratiquement illimité à tous les programmes, fichiers et ressources d’un système. Les pirates peuvent exploiter ces privilèges pour modifier les paramètres du système, exécuter des commandes, installer des logiciels malveillants et prendre le contrôle total des actifs réseau.
Les vecteurs d’attaque associés à l’élévation des privilèges sont les suivants :
- Identifiants compromis
- Exploitation des vulnérabilités
- Erreurs de configuration
- Logiciels malveillants
- Ingénierie sociale
- Exploits du système d’exploitation
Identifiants compromis
L’utilisation d’identifiants volés ou compromis est l’une des techniques d’élévation des privilèges les plus courantes. Il s’agit également de la méthode la plus simple pour obtenir un accès non autorisé aux comptes.
Ils peuvent obtenir des identifiants par le biais du phishing, de violation de données ou attaques par force brute, qui consistent à deviner les noms d’utilisateur et les mots de passe de comptes légitimes.
Exploitation des vulnérabilités
Les pirates exploitent souvent les vulnérabilités logicielles, telles que les défauts non corrigés ou les erreurs de codage, pour élever les privilèges des comptes.
L’attaque par dépassement de tampon est une technique courante. Le pirate envoie alors plus de données à un bloc de mémoire que le programme ne peut en traiter. Le programme réagit en écrasant les blocs de mémoire adjacents, ce qui peut modifier son fonctionnement. Les pirates peuvent en profiter pour injecter du code malveillant dans le programme.
Dans le but d’élever leurs privilèges, les attaquants peuvent utiliser des attaques par dépassement de tampon pour ouvrir des shells distants qui leur accordent autant de privilèges que l’application attaquée.
Erreurs de configuration
En cas de mauvaise configuration des autorisations, des services ou des paramètres du système d’exploitation, les pirates peuvent plus facilement contourner les mesures de sécurité.
Par exemple, une solution de gestion des identités et des accès (IAM) mal configurée peut accorder aux utilisateurs plus de permissions que leur compte ne leur en accorde. Une base de données sensible accidentellement exposée au public sur le Web permettrait aux pirates informatiques d’y accéder librement.
Logiciels malveillants
Les pirates peuvent utiliser leur accès initial au système pour déposer des charges utiles malveillantes qui installent des portes dérobées, enregistrent les frappes clavier et espionnent les autres utilisateurs. Ils exploitent ensuite les capacités du logiciel malveillant pour collecter des identifiants et accéder aux comptes administratifs.
Ingénierie sociale
Les pirates informatiques s’appuient sur l’ingénierie sociale pour manipuler les gens et les amener à partager des informations qu’ils ne sont pas censés partager, à télécharger des logiciels malveillants ou à visiter des sites Web malveillants.
L’ingénierie sociale est une technique couramment employée dans le cadre des attaques par élévation des privilèges. Souvent, les pirates obtiennent un premier accès en volant les identifiants des compte de bas niveau grâce à l’ingénierie sociale. Une fois à l’intérieur du réseau, l’ingénierie sociale leur permet d’amener d’autres utilisateurs à partager leurs identifiants ou à autoriser l’accès aux actifs sensibles.
Ainsi, un attaquant pourrait se servir d’un compte employé piraté pour envoyer des e-mails de phishing à d’autres employés. Comme ces e-mails proviennent d’un compte légitime, les destinataires sont plus susceptibles de se faire piéger.
Exploits du système d’exploitation
Les auteurs d’attaques par élévation de privilèges exploitent souvent les vulnérabilités de systèmes d’exploitation spécifiques. Microsoft Windows et Linux sont des cibles populaires en raison de leur utilisation répandue et de leurs structures d’autorisations complexes.
Élévation des privilèges Linux
Les pirates étudient souvent le code open source de Linux à la recherche de moyens de mener des attaques par élévation de privilèges.
L’une des cibles courantes est le programme Linux Sudo, que les administrateurs utilisent pour accorder temporairement des droits administratifs aux utilisateurs de base. Si un attaquant pirate un compte utilisateur de base avec un accès Sudo, il obtient également ces droits. Il peut alors exploiter ses privilèges de sécurité élevés pour exécuter des commandes malveillantes.
Une autre technique consiste à utiliser l’énumération pour accéder aux noms d’utilisateur Linux. Les attaquants accèdent d’abord au shell du système Linux, généralement via un serveur FTP mal configuré. Ils émettent ensuite des commandes qui répertorient (ou « énumèrent ») tous les utilisateurs du système. À l’aide d’une liste de noms d’utilisateur, les attaquants peuvent recourir à la force brute ou à d’autres méthodes pour prendre le contrôle de chaque compte.
Élévation des privilèges Windows
Windows étant largement utilisé par les entreprises, il est une cible de choix pour ce qui est de l’élévation des privilèges.
Une approche courante consiste à contourner le contrôle de compte d’utilisateur (UAC) de Windows. L’UAC détermine si un utilisateur dispose de privilèges standard ou administratifs. Si l’UAC ne dispose pas d’un niveau de protection élevé, les attaquants peuvent émettre certaines commandes pour le contourner. Ils peuvent alors accéder aux privilèges root.
Le détournement de bibliothèques de liens dynamiques (DLL) est un autre vecteur d’attaque visant Windows. Une DLL est un fichier qui contient du code utilisé par plusieurs ressources système en même temps.
Les pirates placent d’abord un fichier infecté dans le même répertoire que la bibliothèque de liens dynamiques (DLL) légitime. Lorsqu’un programme recherche la véritable DLL, il appelle à la place le fichier infecté. Ce dernier exécute alors un code malveillant qui aide les attaquants à élever leurs privilèges.
Une posture de sécurité Zero Trust qui part du principe que chaque utilisateur est une cybermenace potentielle peut contribuer à atténuer le risque d’élévation des privilèges. Les autres contrôles de sécurité courants pour prévenir et détecter l’élévation des privilèges comprennent :
- Mots de passe forts
- Gestion des correctifs
- Principe du moindre privilège
- Authentification multifacteur (MFA)
- Protection des terminaux
- Analyse du comportement des utilisateurs
Des mots de passe robustes compliquent la tâche des cybercriminels qui tentent d’utiliser la force brute ou des méthodes similaires pour deviner ou pirater les mots de passe des comptes.
La gestion des correctifs consiste à appliquer les mises à jour publiées par les fournisseurs pour corriger les vulnérabilités et optimiser la performance des logiciels et des appareils.
De nombreux cas d’élévation des privilèges peuvent facilement être évités en appliquant promptement les correctifs pour éliminer les vulnérabilités avant que les attaquants ne puissent les exploiter.
Selon le principe du moindre privilège, les utilisateurs ne doivent disposer que des accès minimaux requis pour leurs rôles. Cette approche aide les organisations à protéger les comptes privilégiés contre les attaques basées sur l’identité, telles que l’élévation des privilèges. Elle réduit également le nombre d’utilisateurs et de comptes privilégiés en renforçant les contrôles d’accès, ce qui limite les possibilités d’intrusion des pirates informatiques.
L’authentification à étapes (MFA) est une méthode de vérification qui exige que les utilisateurs fournissent au moins deux éléments pour prouver leur identité.
Même si les pirates informatiques parviennent à voler les identifiants des utilisateurs, cette pratique empêche l’élévation des privilèges en ajoutant une couche de sécurité supplémentaire. Avec l’authentification à étapes, les mots de passe volés ne suffisent pas à eux seuls pour accéder aux comptes protégés.
Les outils de sécurité des terminaux, tels que les solutions de détection et réponse des terminaux (EDR), peuvent aider à identifier les premiers signes d’une attaque par élévation de privilèges. Lorsque les attaquants prennent le contrôle de comptes utilisateurs, ils ont tendance à se comporter différemment des utilisateurs réels. Les EDR et les outils similaires peuvent détecter les activités anormales sur les terminaux et les signaler ou intervenir directement.
Analyser l’activité des utilisateurs à l’aide d’outils tels que l’analyse du comportement des utilisateurs et des entités (UEBA) permet aux entreprises d’identifier les comportements inhabituels, susceptibles d’indiquer une tentative d’élévation des privilèges. Un nombre particulièrement important de connexions utilisateur, connexions ayant lieu tard dans la nuit, utilisateurs accédant à des applications ou appareils inattendus, montée en flèche des échecs de connexion... Autant d’éléments susceptibles d’indiquer une tentative d’élévation des privilèges.
Ressources
Découvrez, contrôlez, gérez et protégez les comptes privilégiés sur les terminaux et les environnements multicloud hybrides avec IBM Verify Privilege.
Découvrez les services de test d’intrusion X-Force Red effectués par l’équipe mondiale de hackers d’IBM qui fournit des tests de sécurité élaborés basés sur les stratégies des agresseurs informatiques.
Que vous ayez besoin de solutions de sécurité des données, de gestion des points de terminaison ou de gestion des identités et des accès (IAM), nos experts sont prêts à travailler avec vous pour atteindre une excellente posture de sécurité.