17 مارس 2025،
تصعيد الامتياز هو أسلوب هجوم إلكتروني حيث يقوم عنصر التهديد بتغيير أذوناته أو رفعها في نظام مستهدف، مثل الانتقال من حساب مستخدم أساسي منخفض الامتياز إلى حساب مسؤول ذي مستوى أعلى.
يعد اختطاف الحساب أحد أكثر الطرق شيوعًا التي يحصل بها المتسللون على وصول غير مصرح به إلى الأنظمة المستهدفة. وفقا لمؤشر IBM X-Force Threat Intelligence Index، تستخدم 30% من الهجمات الإلكترونية حسابات مسروقة لاقتحام النظام. عادة ما يستهدف المهاجمون الحسابات منخفضة المستوى لأنه يسهل اختطافها من حسابات المسؤول المحمية جيدًا.
بعد أن يحصل المهاجم على الدخول الأولي، يمكنه استغلال الثغرات الأمنية في النظام واستخدام تقنيات مثل الهندسة الاجتماعية لرفع أذوناته. مسلحين بامتيازات أعلى، يستطيع المهاجمون بسهولة أكبر تنفيذ أنشطة خبيثة مثل سرقة البيانات الحساسة، أو تثبيت برامج الفدية، أو تعطيل الأنظمة.
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
يبدأ المتسللون الذين يجرون هجمات تصعيد الامتياز بالوصول إلى حساب مستخدم أو ضيف منخفض المستوى. عندما يكونون داخل النظام، يستغلون نقاط الضعف والثغرات في دفاعات الأمن السيبراني لتصعيد امتيازاتهم.
تبدأ عناصر التهديد بحسابات منخفضة المستوى لأنه من الأسهل اختراقها. يوجد عدد أكبر من الحسابات ذات المستوى المنخفض مقارنة بحسابات المستخدمين المميزين، مما يعني أن سطح الهجوم الإجمالي أكبر. تميل الحسابات ذات المستوى المنخفض أيضًا إلى أن يكون لديها ضوابط أمان أقل. ويتولى المخترقون السيطرة على هذه الحسابات منخفضة المستوى من خلال تقنيات مثل سرقة بيانات الاعتماد والتصيد الاحتيالي.
تمنح الحسابات منخفضة المستوى المخترقون فرصة الدخول، ولكن بمجرد دخولهم، لا يمكنهم فعل الكثير. تقوم المؤسسات بتقييد أذونات هذه الحسابات عمدًا حتى لا تتمكن من الوصول إلى البيانات الحساسة أو التفاعل مع الأصول الهامة.
لذلك يبحث المهاجمون عن طرق للحصول على وصول متميز من داخل النظام.
بشكل عام، لديهم طريقتان للقيام بذلك: يمكنهم إما رفع امتيازات الحساب الذي سرقوه أو اختطاف حساب مستخدم أكثر امتيازًا، مثل مسؤول النظام. بفضل الوصول المتميز، يستطيع المهاجمون التفاعل مع التطبيقات وقواعد البيانات والموارد الأخرى التي قد تحتوي على معلومات حساسة.
يمكن أن يظل المخترقون مختبئين في النظام لفترات طويلة من الزمن أثناء قيامهم بالاستطلاع والبحث عن فرص لتصعيد امتيازاتهم. خلال هذا الوقت، قد يقومون بتثبيت أبواب خلفية تمكنهم من إعادة الدخول إلى الشبكة إذا تم اكتشافهم.
عندما يستكشف المخترقون الشبكة، يمكنهم الحركة أفقيًا أو رأسيًا.
تصعيد الامتياز الأفقي
يعرف أيضًا باسم الحركة الجانبية، ويحدث تصعيد الامتياز الأفقي عندما يصل مهاجم إلى حساب يتمتع بمستوى مماثل من الأذونات. على الرغم من أنهم لا يحصلون على أذونات جديدة، إلا أن التحرك أفقيًا يمكّن المخترقين من توسيع نطاق وصولهم لجمع المزيد من المعلومات وإحداث المزيد من الضرر.
على سبيل المثال، قد يستولي أحد المخترقين على حسابات متعددة من المستخدمين في تطبيق ويب مصرفي. قد لا ترفع هذه الحسابات أذونات المهاجم في النظام، ولكنها تُمكِّن المهاجم من الوصول إلى الحسابات المصرفية لعدة مستخدمين.
تصعيد الامتياز الرأسي
يُعرف أيضًا باسم رفع الامتياز، وتصعيد الامتياز الرأسي هو الانتقال من امتيازات أقل إلى امتيازات أعلى، غالبًا عن طريق التحول من حساب مستخدم أساسي إلى حساب يتمتع بامتيازات إدارية.
يمكن للمتسللين أيضًا تنفيذ تصعيد الامتيازات الرأسي عن طريق استغلال أخطاء النظام وسوء الإعدادات لرفع امتيازات الحساب الذي يمتلكونه بالفعل.
بالنسبة للعديد من المهاجمين، فإن الهدف من التصعيد الرأسي للامتيازات هو الحصول على امتيازات الجذر. لحساب الجذر وصول غير محدود تقريبًا إلى جميع البرامج والملفات والموارد على النظام. يمكن للمتسللين استخدام هذه الامتيازات لتغيير إعدادات النظام وتنفيذ الأوامر وتثبيت برنامج ضار والسيطرة الكاملة على الأصول.
أمثلة نموذجية لنواقل هجمات تصعيد الامتيازات تتضمن:
- بيانات الاعتماد المخترقة
- استغلال الثغرات الأمنية
- التكوين غير الصحيح للإعدادات
- البرامج الضارة
- هندسة اجتماعية
- عمليات استغلال نظام التشغيل
بيانات الاعتماد المخترقة
يعد استخدام بيانات الاعتماد المسروقة أو المخترقة أحد أكثر تقنيات تصعيد الامتيازات شيوعًا. إنها أيضًا أبسط طريقة للحصول على وصول غير مصرح به إلى الحساب.
يمكن للمخترقون الحصول على بيانات الاعتماد من خلال التصيد الاحتيالي أو اختراق أمن البيانات أو هجمات القوة الغاشمة التي يحاولون فيها تخمين أسماء المستخدمين وكلمات المرور للحسابات الشرعية.
استغلال الثغرات الأمنية
غالبًا ما يستغل المخترقون الثغرات الأمنية بالبرامج، مثل العيوب غير المصححة أو أخطاء الترميز، لزيادة امتيازات الحساب.
إحدى التقنيات الشائعة هي هجوم تجاوز سعة المخزن المؤقت. هنا، يرسل المهاجم بيانات أكثر إلى كتلة من الذاكرة مما يمكن للبرنامج التعامل معه. ويستجيب البرنامج بالكتابة فوق كتل الذاكرة المتجاورة، مما قد يغير طريقة عمل البرنامج. يمكن للمخترقين الاستفادة من هذا لحقن تعليمات برمجية ضارة في البرنامج.
لأغراض تصعيد الامتيازات، يمكن للمهاجمين استخدام هجمات تجاوز سعة المخزن المؤقت لفتح أغلفة تحكم عن بُعد تمنحهم امتيازات بقدر امتيازات التطبيق قيد الهجوم.
التكوين غير الصحيح للإعدادات
يمكن أن تمنح التكوينات الخاطئة للأذونات أو الخدمات أو إعدادات نظام التشغيل المتسللين العديد من الفرص لتجاوز الإجراءات الأمنية.
على سبيل المثال، قد يمنح حل إدارة الهوية والوصول (IAM) الذي تم تكوينه بشكل غير صحيح للمستخدمين أذونات أكثر مما تتطلبه حساباتهم. قاعدة البيانات الحساسة التي يتم كشفها عن طريق الخطأ على شبكة الإنترنت العامة ستسمح للقراصنة بالدخول مباشرةً.
البرامج الضارة
يمكن للمتسللين استخدام وصولهم الأولي إلى النظام لإسقاط حمولات ضارة تقوم بتثبيت أبواب خلفية وتسجيل ضغطات المفاتيح والتجسس على مستخدمين آخرين. ثم يستخدم المتسللون قدرات برنامج ضار لجمع بيانات الاعتماد والوصول إلى الحسابات الإدارية.
الهندسة الاجتماعية
يستخدم المتسللون الهندسة الاجتماعية للتلاعب بالأشخاص لتحفيزهم على مشاركة المعلومات التي لا ينبغي لهم مشاركتها، أو تحميل البرامج الضارة أو زيارة مواقع الويب الضارة.
الهندسة الاجتماعية هي أسلوب شائع في هجمات تصعيد الامتيازات. غالبًا ما يحصل المهاجمون على وصول أولي باستخدام الهندسة الاجتماعية لسرقة بيانات اعتماد الحساب منخفضة المستوى. عندما يكون المخترقون داخل الشبكة، يستخدمون الهندسة الاجتماعية لخداع المستخدمين الآخرين لمشاركة بيانات الاعتماد أو منحهم حق الوصول إلى الأصول الحساسة.
على سبيل المثال، قد يستخدم المهاجم حساب موظف مختطف لإرسال رسائل بريد إلكتروني للتصيد الاحتيالي إلى موظفين آخرين. نظرًا لأن رسالة التصيد الاحتيالي تأتي من حساب بريد إلكتروني شرعي، فمن المرجح أن تنطلي على الأهداف.
عمليات استغلال نظام التشغيل
غالبًا ما يستغل مهاجمو تصعيد الامتيازات الثغرات الأمنية في أنظمة تشغيل معينة. يُعد Microsoft Windows و Linux أهدافًا شائعة بسبب استخدامها على نطاق واسع وهياكل الأذونات المعقدة.
تصعيد امتياز Linux
غالبًا ما يدرس المهاجمون مصدر الرمز المفتوح لنظام Linux للبحث عن طرق لتنفيذ هجمات تصعيد الامتياز.
أحد الأهداف الشائعة هو برنامج Linux Sudo، الذي يستخدمه المسؤولون لمنح حقوق المسؤول مؤقتًا للمستخدمين العاديين. إذا اخترق مهاجم حساب مستخدم عادي لديه صلاحيات Sudo، فإنه يحصل على تلك الصلاحيات أيضًا. ويمكنه بعد ذلك استغلال امتيازات الأمان المرتفعة لتنفيذ أوامر ضارة.
تقنية أخرى هي استخدام التعداد للوصول إلى أسماء مستخدمي Linux. يحصل المهاجمون أولاً على حق الوصول إلى غلاف نظام لينكس، عادةً من خلال خادم FTP مهيأ بشكل خاطئ. ثم يقومون بإصدار أوامر تسرد أو «تعدد» جميع المستخدمين في النظام. باستخدام قائمة أسماء المستخدمين، يمكن للمهاجمين استخدام القوة الغاشمة أو طرق أخرى للسيطرة على كل حساب.
تصعيد امتياز Windows
نظرًا لاستخدام Windows على نطاق واسع من قِبل الشركات، فهو هدف شائع لتصعيد الامتيازات.
إحدى الطرق الشائعة هي تجاوزَ التحكم في حساب المستخدم (UAC) في Windows. يحدد UAC ما إذا كان لدى المستخدم حق الوصول إلى الامتيازات القياسية أو الإدارية. إذا لم يكن لدى UAC مستوى عال من الحماية، فيمكن للمهاجمين إصدار أوامر معينة لتجاوزها. يمكن للمهاجمين بعد ذلك الوصول إلى امتيازات الجذر.
اختطاف مكتبة الارتباط الديناميكي (DLL) هو ناقل هجوم آخر لنظام Windows. DLL هو ملف يحتوي على تعليمات برمجية تستخدمها موارد نظام متعددة في نفس الوقت.
يقوم المهاجمون أولاً بوضع ملف مصاب داخل نفس دليل ملف DLL الشرعي. عندما يبحث البرنامج عن DLL الحقيقي، فإنه يستدعي ملف المهاجم بدلاً منه. ثم يقوم الملف المصاب بتنفيذ تعليمات برمجية ضارة تساعد المهاجم على تصعيد امتيازاته.
يمكن أن يساعد وضع الثقة الصفرية الذي يفترض أن كل مستخدم يمثل تهديدًا إلكترونيًا محتملًا في التخفيف من مخاطر تصعيد الامتيازات. تتضمن الضوابط الأمنية الشائعة الأخرى لمنع وكشف تصعيد الامتيازات ما يلي:
- كلمات مرور قوية
- إدارة التصحيح
- مبدأ الامتيازات الأقل
- المصادقة متعددة العوامل (MFA)
- حماية نقاط النهاية
- تحليل سلوك المستخدم
تجعل كلمات المرور القوية من الصعب على المتسللين استخدام القوة الغاشمة أو طرق مماثلة لتخمين كلمات مرور الحساب أو اختراقها.
إدارة التصحيحات هي عملية تطبيق التحديثات الصادرة عن البائع لإغلاق الثغرات الأمنية وتحسين أداء البرامج والأجهزة.
يمكن منع العديد من أمثلة تصعيد الامتيازات بسهولة عن طريق تطبيق التصحيحات في الوقت المناسب، وسد الثغرات قبل أن يتمكن المهاجمون من استغلالها.
ينص مبدأ الحد الأدنى من الامتيازات على أنه يجب تزويد المستخدمين بالحد الأدنى فقط من الصلاحيات المطلوبة لأدوارهم. يساعد هذا النهج المؤسسات على حماية الحسابات المميزة من الهجمات القائمة على الهوية مثل تصعيد الامتيازات. كما أنه يقلل من عدد المستخدمين والحسابات المميزة عن طريق تشديد ضوابط الوصول، وبالتالي تقل فرص المخترقين في اختراقها.
المصادقة متعددة العوامل (MFA) هي طريقة للتحقق من الهوية يتعين فيها على المستخدم تقديم دليلين على الأقل لإثبات هويته.
حتى إذا نجح المخترقون في سرقة بيانات اعتماد المستخدم، يمكن أن تساعد هذه الممارسة في منع تصعيد الامتيازات من خلال إضافة طبقة أخرى من الأمان. باستخدام المصادقة متعددة العوامل (MFA)، لا توفر كلمات المرور المسروقة وحدها إمكانية الوصول إلى الحسابات المحمية.
يمكن لأدوات أمن نقطة النهاية، مثل حلول كشف نقطة النهاية والاستجابة لها (EDR) أن تساعد في تحديد العلامات المبكرة لهجوم تصعيد الامتيازات. عندما يتحكم المهاجمون في حسابات المستخدمين، فإنهم يميلون إلى التصرف بشكل مختلف عن المستخدمين الحقيقيين. أنظمة EDR وأدوات مماثلة يمكنها اكتشاف الأنشطة غير الطبيعية على نقاط النهاية والإبلاغ عنها أو التدخل فيها بشكل مباشر.
إن تحليل نشاط المستخدم باستخدام أدوات مثل تحليلات سلوك المستخدم والكيان (UEBA) يمكن أن يساعد المؤسسات في تحديد السلوك غير الطبيعي الذي قد يشير إلى محاولات تصعيد الامتيازات. يمكن أن تكون الكميات الكبيرة غير المعتادة لتسجيلات دخول المستخدمين، وتسجيلات الدخول التي تحدث في وقت متأخر من الليل، ووصول المستخدمين إلى أجهزة أو تطبيقات غير متوقعة، أو زيادة في تسجيلات الدخول الفاشلة، كلها علامات على تصعيد الامتيازات.
الموارد
اكتشف، وتحكم، وادِر، واحْمِ الحسابات ذات الامتيازات عبر نقاط النهاية وبيئات السحابة المتعددة الهجينة باستخدام IBM Verify Privilege.
تعرف على خدمات اختبار الاختراق X-Force Red من فريق IBM العالمي من المتسللين الذين يقدمون اختبارًا أمنيًا بعقلية المهاجم.
سواء كنت بحاجة إلى حلول أمن البيانات أو إدارة نقاط النهاية أو إدارة الهوية والوصول (IAM)، فإن الخبراء مستعدون للعمل معك لتحقيق الوضع الأمني القوي.