Cos'è l'escalation dei privilegi?

Il dirottamento degli account è uno dei modi più comuni con cui gli hacker ottengono l'accesso non autorizzato ai sistemi bersaglio. Secondo l'IBM X-Force Threat Intelligence Index, il 30% degli attacchi informatici utilizza account rubati per accedere a un sistema. Gli aggressori di solito prendono di mira gli account di basso livello perché sono più facili da sabotare rispetto agli account amministratore, che sono più protetti.

Dopo aver ottenuto l'ingresso iniziale, l'aggressore può sfruttare le vulnerabilità del sistema e utilizzare tecniche come l'ingegneria sociale per elevare le proprie autorizzazioni. Armati di privilegi più elevati, gli aggressori possono eseguire più facilmente attività dannose come il furto di dati sensibili, l'installazione di ransomware o l'interruzione dei sistemi. 

Gli hacker che conducono attacchi di escalation dei privilegi iniziano ottenendo l'accesso a un account utente o ospite di livello basso. Una volta all'interno del sistema, sfruttano le vulnerabilità e le lacune nelle difese di cybersecurity per aumentare i loro privilegi.

Gli attori delle minacce iniziano con gli account di livello inferiore perché sono più facili da sabotare. Solitamente esistono sono più account di basso livello che account utente privilegiati, il che significa che la superficie di attacco complessiva è più ampia. Gli account di basso livello tendono anche ad avere meno controlli di sicurezza. Gli hacker si impossessano di questi account attraverso tecniche come il furto di credenziali e il phishing.

Gli account di basso livello permettono agli hacker di tenere un piede in mezzo alla porta, ma una volta entrati, non possono fare molto. Le organizzazioni limitano intenzionalmente le autorizzazioni di questi account in modo che non possano accedere ai dati sensibili o interagire con asset critici.

Quindi, gli aggressori vanno alla ricerca di modi per ottenere l'accesso privilegiato dall'interno del sistema.

In generale, hanno due modi per farlo: aumentare i privilegi dell'account che hanno rubato o sabotare l'account di un utente con privilegi più alti, come un amministratore di sistema. Con l'accesso privilegiato, gli aggressori possono interfacciarsi con applicazioni, database e altre risorse che potrebbero contenere informazioni sensibili.

Gli hacker possono rimanere nascosti nel sistema per molto tempo mentre effettuano le loro ricognizioni e cercano opportunità per aumentare i propri privilegi. Durante questo periodo, possono installare backdoor che consentano loro di rientrare nella rete se vengono rilevati.

Man mano che gli hacker esplorano la rete, possono spostarsi orizzontalmente o verticalmente.

L'escalation orizzontale dei privilegi, nota anche come movimento laterale, si verifica quando un utente malintenzionato accede a un account con un livello di autorizzazioni simile. Sebbene non ottengano nuove autorizzazioni, lo spostamento orizzontale consente agli hacker di espandere la loro portata per raccogliere più informazioni e fare più danni.

Ad esempio, in un'applicazione web bancaria, un hacker potrebbe assumere il controllo di più account utente senza aumentarne le autorizzazioni all'interno del sistema sistema, ma riuscendo ad accedere ai conti bancari di più utenti. 

L'escalation verticale dei privilegi, nota anche come elevazione dei privilegi, si ha quando gli aggressori passano da privilegi inferiori a privilegi superiori, spesso spostandosi da un account utente di base a un account con privilegi amministrativi. 

Gli hacker possono anche eseguire l'escalation verticale sfruttando bug di sistema e configurazioni errate per aumentare i privilegi dell'account che già possiedono.

Per molti di loro, l'obiettivo dell'escalation verticale dei privilegi è ottenere i privilegi di root. Un account root ha accesso praticamente illimitato a tutti i programmi, file e risorse di un sistema. Gli hacker possono utilizzare questi privilegi per modificare le impostazioni di sistema, eseguire comandi, installare malware e assumere il controllo completo degli asset.

I tipici vettori di attacco per l'escalation dei privilegi includono:

• Credenziali compromesse
• Sfruttamento delle vulnerabilità
• Configurazioni errate
• Malware
• Ingegneria sociale
• Sfruttamenti dei sistemi operativi

L'uso di credenziali rubate o compromesse è una delle tecniche di escalation dei privilegi più comuni. È anche il metodo più semplice per ottenere l'accesso non autorizzato agli account.

Gli hacker possono ottenere le credenziali tramite phishing, violazioni dei dati o attacchi brute-force, nei quali cercano di indovinare i nomi utente e le password di account legittimi.

Gli hacker spesso utilizzano le vulnerabilità del software, come difetti senza patch o errori di codifica, per aumentare i privilegi dell'account.

Una tecnica comune è un attacco di buffer overflow nel quale l'aggressore invia a un blocco di memoria più dati di quelli che il programma può gestire. Il programma risponderà sovrascrivendo i blocchi di memoria adiacenti, alterando il suo stesso funzionamento. Gli hacker possono quindi approfittarne per iniettare codice dannoso nel programma.

Ai fini dell'escalation dei privilegi, gli aggressori possono utilizzare gli attacchi buffer overflow per aprire shell remote che concedono tutti i privilegi dell'applicazione sotto attacco.

Le configurazioni errate delle autorizzazioni, dei servizi o delle impostazioni del sistema operativo possono offrire agli hacker molte opportunità per aggirare le misure di sicurezza.

Ad esempio, una soluzione di gestione delle identità e degli accessi (IAM) configurata in modo errato potrebbe concedere agli utenti più autorizzazioni di quelle richieste dai loro account. Un database sensibile accidentalmente esposto al web pubblico permetterebbe agli hacker di entrare in azione. 

Gli hacker possono utilizzare l'accesso iniziale al sistema per rilasciare payload dannosi che installano backdoor, registrano le sequenze di tasti e spiano altri utenti. Gli hacker utilizzano quindi le funzionalità del malware per raccogliere le credenziali e accedere agli account amministrativi.

Gli hacker utilizzano l'ingegneria sociale per indurre le persone a condividere informazioni che non dovrebbero condividere, a scaricare malware o a visitare siti web dannosi.

L'ingegneria sociale è una tecnica comune negli attacchi di escalation dei privilegi. Gli aggressori ottengono spesso l'accesso iniziale utilizzando l'ingegneria sociale per rubare le credenziali di account di basso livello. Una volta all'interno della rete, gli hacker utilizzano l'ingegneria sociale per indurre altri utenti a condividere le proprie credenziali o a concedere l'accesso a asset sensibili.

Ad esempio, un aggressore potrebbe utilizzare un account dipendente sabotato per inviare e-mail di phishing ad altri dipendenti. Poiché l'e-mail di phishing proviene da un account e-mail legittimo, è più probabile che le vittime ci caschino.

Gli aggressori con escalation dei privilegi spesso sfruttano le vulnerabilità di sistemi operativi specifici. Microsoft Windows e Linux sono obiettivi popolari a causa del loro uso diffuso e delle complesse strutture di autorizzazione.

Gli aggressori studiano spesso il codice open source di Linux alla ricerca di modi per eseguire attacchi di escalation dei privilegi.

Un obiettivo comune è il programma Linux Sudo, che gli amministratori utilizzano per concedere temporaneamente diritti amministrativi agli utenti di base. Se un utente malintenzionato hackera un account utente di base con accesso Sudo, ottiene anche questi diritti e può sfruttare i suoi privilegi di sicurezza elevati per eseguire comandi dannosi.

Un'altra tecnica consiste nell'usare l'enumerazione per accedere ai nomi utente Linux. Gli aggressori ottengono prima l'accesso alla shell del sistema Linux, solitamente attraverso un server FTP configurato in modo errato, quindi emettono comandi che elencano, o "enumerano", tutti gli utenti del sistema. Con un elenco di nomi utente, gli aggressori possono utilizzare gli attacchi di brute force o altri metodi per assumere il controllo di ciascun account. 

Poiché Windows è ampiamente utilizzato dalle aziende, è un obiettivo popolare per l'escalation dei privilegi.

Un approccio comune è bypassare il controllo dell'account utente di Windows (UAC). L'UAC determina se un utente ha accesso ai privilegi standard o a quelli amministrativi. Se l'UAC non dispone di un elevato livello di protezione, gli aggressori possono emettere determinati comandi per aggirarlo e accedere ai privilegi di root.

Un altro vettore di attacco di Windows è l'hijacking del dynamic-link library (DLL). Un DLL è un file che contiene codice utilizzato da più risorse di sistema contemporaneamente.

Gli aggressori inseriscono innanzitutto un file infetto nella directory del DLL legittimo e, quando un programma cerca il DLL, richiama invece il file dell'aggressore. Il file infetto esegue quindi un codice dannoso che aiuta l'attacco ad aumentare i propri privilegi.

Un atteggiamento zero trust che presuppone che ogni utente sia una potenziale minaccia informatica può aiutare a mitigare il rischio di escalation dei privilegi. Altri controlli di sicurezza comuni per prevenire e rilevare l'escalation dei privilegi includono:

• Password complesse
• Gestione delle patch
• Principio del privilegio minimo
• Autenticazione a più fattori (MFA)
• Protezione degli endpoint
• Analisi del comportamento degli utenti