Apa itu eskalasi hak istimewa?

Pembajakan akun adalah salah satu cara paling umum peretas mendapatkan akses tidak sah ke sistem target. Menurut Indeks Intelijen Ancaman IBM X-Force Threat Intelligence Index, 30% dari serangan siber menggunakan akun yang dicuri untuk membobol sebuah sistem. Penyerang biasanya menargetkan akun tingkat rendah karena mereka lebih mudah dibajak daripada akun admin yang dilindungi dengan baik.

Setelah penyerang mendapatkan akses masuk awal, mereka dapat mengeksploitasi kerentanan dalam sistem dan menggunakan teknik seperti rekayasa sosial untuk meningkatkan izin mereka. Berbekal hak istimewa yang lebih tinggi, penyerang dapat lebih mudah melakukan aktivitas jahat seperti mencuri data sensitif, memasang ransomware, atau mengganggu sistem. 

Peretas yang melakukan serangan eskalasi hak istimewa memulai dengan mendapatkan akses ke pengguna tingkat rendah atau akun tamu. Ketika berada di dalam sistem, mereka mengeksploitasi kerentanan dan celah dalam pertahanan keamanan siber untuk meningkatkan hak istimewa mereka.

Aktor ancaman mulai dengan akun tingkat yang lebih rendah karena mereka lebih mudah dibajak. Ada lebih banyak akun level rendah daripada akun pengguna istimewa, yang berarti permukaan serangan keseluruhan lebih besar. Akun tingkat rendah juga cenderung memiliki kontrol keamanan yang lebih sedikit. Peretas mengambil alih akun tingkat rendah ini melalui teknik seperti pencurian kredensial dan phishing.

Akun tingkat rendah menempatkan kaki peretas di pintu, tetapi begitu mereka masuk, mereka tidak bisa berbuat banyak. Organisasi sengaja membatasi izin akun ini sehingga mereka tidak dapat mengakses data sensitif atau berinteraksi dengan aset penting.

Jadi penyerang mencari cara untuk mendapatkan akses istimewa dari dalam sistem.

Secara umum, mereka memiliki dua cara untuk melakukan ini: Mereka bisa menaikkan hak istimewa akun yang mereka curi atau membajak akun pengguna yang lebih istimewa, seperti administrator sistem. Dengan akses istimewa, penyerang dapat berinteraksi dengan aplikasi, database, dan sumber daya lain yang mungkin berisi informasi sensitif.

Peretas dapat tetap tersembunyi di dalam sistem untuk jangka waktu yang lama ketika mereka melakukan pengintaian dan mencari kesempatan untuk meningkatkan hak istimewa mereka. Selama waktu ini, mereka mungkin memasang pintu belakang yang memungkinkan mereka untuk masuk kembali ke jaringan jika terdeteksi.

Saat peretas menjelajahi jaringan, mereka dapat pindah secara horizontal atau vertikal.

Juga dikenal sebagai gerakan lateral, eskalasi hak istimewa horizontal adalah ketika penyerang mengakses akun dengan tingkat izin yang sama. Meskipun mereka tidak mendapatkan izin baru, bergerak secara horizontal memungkinkan peretas memperluas jangkauan mereka untuk mengumpulkan lebih banyak informasi dan melakukan lebih banyak kerusakan.

Misalnya, seorang peretas dapat menguasai beberapa akun pengguna dalam aplikasi web perbankan. Akun-akun ini mungkin tidak meningkatkan izin penyerang dalam sistem, tetapi memungkinkan penyerang untuk mengakses rekening bank beberapa pengguna. 

Juga dikenal sebagai eskalasi hak istimewa, eskalasi hak istimewa vertikal bergerak dari hak istimewa yang lebih rendah ke hak istimewa yang lebih tinggi, sering kali dengan berpindah dari akun pengguna dasar ke akun dengan hak istimewa administratif. 

Peretas juga dapat melakukan eskalasi hak istimewa vertikal dengan mengeksploitasi bug sistem dan kesalahan konfigurasi untuk meningkatkan hak istimewa akun yang sudah mereka miliki.

Bagi banyak penyerang, tujuan eskalasi hak istimewa vertikal adalah untuk mendapatkan hak akses root. Akun root memiliki akses hampir tak terbatas ke semua program, file, dan sumber daya pada sistem. Peretas dapat menggunakan hak istimewa ini untuk mengubah pengaturan sistem, menjalankan perintah, menginstal malware, dan mengambil kendali penuh atas aset jaringan.

Vektor serangan eskalasi hak istimewa yang khas meliputi:

• Kredensial yang disusupi
• Eksploitasi kerentanan
• Kesalahan konfigurasi
• Malware
• Rekayasa sosial
• Eksploitasi sistem operasi

Penggunaan kredensial yang dicuri atau disusupi adalah salah satu teknik eskalasi hak istimewa yang paling umum. Ini juga merupakan metode paling sederhana untuk mendapatkan akses akun yang tidak sah.

Peretas dapat memperoleh kredensial melalui phishing, pelanggaran data, atau serangan brute-force di mana mereka mencoba menebak nama pengguna dan kata sandi akun yang sah.

Peretas sering memanfaatkan kerentanan perangkat lunak, seperti cacat yang tidak ditambal atau kesalahan pengodean, untuk meningkatkan hak istimewa akun.

Salah satu teknik yang umum adalah serangan buffer overflow. Di sini, penyerang mengirim lebih banyak data ke blok memori daripada yang dapat ditangani oleh program. Program merespons dengan mengganti blok memori yang berdekatan, yang dapat mengubah cara fungsi program. Peretas dapat memanfaatkan ini untuk menyuntikkan kode berbahaya ke dalam program.

Untuk tujuan eskalasi hak istimewa, penyerang dapat menggunakan serangan buffer overflow untuk membuka shell jarak jauh yang memberi mereka hak istimewa sebanyak aplikasi yang diserang.

Kesalahan konfigurasi izin, layanan, atau pengaturan sistem operasi dapat memberikan banyak peluang bagi peretas untuk menerobos langkah-langkah keamanan.

Misalnya, solusi manajemen identitas dan akses (IAM) yang tidak dikonfigurasi dengan benar mungkin memberi pengguna lebih banyak izin daripada yang diperlukan akun mereka. Database sensitif yang secara tidak sengaja terekspos ke web publik akan membiarkan peretas masuk. 

Peretas dapat menggunakan akses sistem awal mereka untuk menjatuhkan muatan berbahaya yang memasang pintu belakang, mencatat penekanan tombol, dan memata-matai pengguna lain. Peretas kemudian menggunakan kemampuan malware untuk memanen kredensial dan mengakses akun administratif.

Peretas menggunakan rekayasa sosial untuk memanipulasi orang agar berbagi informasi yang tidak boleh mereka bagikan, mengunduh malware, atau mengunjungi situs web berbahaya.

Rekayasa sosial adalah teknik umum dalam serangan eskalasi hak istimewa. Penyerang sering mendapatkan akses awal dengan menggunakan rekayasa sosial untuk mencuri kredensial akun tingkat rendah. Saat berada di dalam jaringan, peretas menggunakan rekayasa sosial untuk mengelabui pengguna lain agar membagikan kredensial mereka atau memberikan akses ke aset sensitif.

Misalnya, penyerang mungkin menggunakan akun karyawan yang dibajak untuk mengirim email phishing ke karyawan lain. Karena email phishing berasal dari akun email yang sah, target lebih cenderung jatuh ke dalamnya.

Penyerang eskalasi hak istimewa sering mengeksploitasi kerentanan sistem operasi tertentu. Microsoft Windows dan Linux adalah target populer karena penggunaannya yang luas dan struktur izin yang rumit.

Penyerang sering mempelajari kode sumber terbuka Linux untuk mencari cara melakukan serangan eskalasi hak istimewa.

Salah satu target yang umum adalah program Linux Sudo, yang digunakan oleh administrator untuk memberikan hak administratif sementara kepada pengguna dasar. Jika penyerang meretas akun pengguna dasar dengan akses Sudo, mereka juga mendapatkan hak tersebut. Mereka kemudian dapat mengeksploitasi hak keamanan mereka yang ditingkatkan untuk menjalankan perintah jahat.

Teknik lain adalah dengan menggunakan enumerasi untuk mengakses nama pengguna Linux. Penyerang pertama kali mendapatkan akses ke shell sistem Linux, biasanya melalui server FTP yang salah dikonfigurasi. Mereka kemudian mengeluarkan perintah yang mencantumkan, atau “menyebutkan,” semua pengguna dalam sistem. Dengan daftar nama pengguna, penyerang dapat menggunakan brute force atau metode lain untuk mengendalikan setiap akun. 

Karena Windows banyak digunakan oleh bisnis, ini adalah target populer untuk eskalasi hak istimewa.

Salah satu pendekatan umum adalah melewati Kontrol Akun Pengguna Windows (UAC). UAC menentukan apakah pengguna memiliki akses ke hak istimewa standar atau administratif. Jika UAC tidak memiliki tingkat perlindungan yang tinggi, penyerang dapat mengeluarkan perintah tertentu untuk melewatinya. Penyerang kemudian dapat mengakses hak akses root.

Pembajakan pustaka tautan dinamis (DLL) adalah vektor serangan Windows lainnya. DLL adalah file yang berisi kode yang digunakan oleh beberapa sumber daya sistem secara bersamaan.

Penyerang pertama-tama menempatkan file yang terinfeksi dalam direktori yang sama dengan DLL yang sah. Ketika mencari DLL asli, sebuah program memanggil file penyerang sebagai gantinya. File yang terinfeksi kemudian mengeksekusi kode berbahaya yang membantu serangan meningkatkan hak istimewa mereka.

Postur zero-trust yang mengasumsikan setiap pengguna adalah ancaman siber potensial dapat membantu mengurangi risiko eskalasi hak istimewa. Kontrol keamanan umum lainnya untuk mencegah dan mendeteksi eskalasi hak istimewa meliputi:

• Kata sandi yang kuat
• Manajemen tambalan
• Prinsip hak istimewa terkecil
• Autentikasi multifaktor (MFA)
• Perlindungan titik akhir
• Analisis perilaku pengguna