Qu’est-ce que l’élévation de privilèges ?
L'élévation de privilèges est une attaque menée par des cybercriminels pour accéder aux privilèges système d'un ordinateur ou d'un réseau, leur donnant ainsi la liberté d'accéder, d'exécuter et de modifier à leur guise.
Cela se termine avec l’obtention de super pouvoirs par les méchants sur le monde numérique d’une personne ou d’une entreprise.
Un cybercriminel ou un acteur menaçant a deux objectifs liés : Le premier est d'obtenir un accès non autorisé à votre réseau. La seconde consiste à obtenir des privilèges administratifs ou des privilèges root.
Souvent, le compte qu’ils compromettent pour accéder à votre réseau est un compte d’utilisateur régulier. Si les principes du moindre privilège ont été respectés, chaque utilisateur se verra attribuer uniquement les capacités et l'autorité nécessaires pour remplir correctement son rôle, et pas plus. Pour que nos acteurs malveillants acquièrent des privilèges administratifs, ils doivent utiliser des techniques d’élévation de privilèges.
Regardons un scénario typique. La plupart des organisations disposent d'appareils multifonctions (MFD) qui permettent d'imprimer, de numériser, de télécopier et de faire des photocopies. Le plus souvent, ceux-ci sont fournis par un imprimeur spécialisé. Pas des spécialistes de la sécurité, ni même une entreprise informatique.
Le fournisseur peut accéder à distance au MFD pour vérifier vos niveaux de toner et surveiller les statistiques d'impression afin de savoir quand un service est dû. Et comme l'appareil peut numériser des documents, il doit soit disposer d'un compte de messagerie pour vous envoyer la numérisation, soit avoir un accès en écriture à un emplacement de votre réseau dans lequel il peut enregistrer les numérisations. Donc, en résumé, l'appareil doit avoir un compte sur votre réseau et il est accessible à distance. C’est une proposition attrayante pour un acteur menaçant.
Si le fournisseur de l’appareil a suivi les meilleures pratiques et sécurisé l’accès à distance au MFD avec un mot de passe fort et unique, tout va bien.
Mais s’ils se sont facilité la vie, ils auront peut-être réutilisé un mot de passe faible sur tous les appareils qu’ils ont fournis à tous leurs clients.
Cela donne à l’acteur menaçant un moyen d’accéder à votre réseau et à celui de tous les autres clients de ce fournisseur d’imprimantes. Si tel est le cas, l’auteur de la menace aura accès à un compte utilisateur qui, espérons-le, dispose des privilèges utilisateur et réseau minimum.
Les sites Web sont un autre vecteur d’attaque courant. Les auteurs de menaces utilisent souvent des attaques Web pour obtenir un accès de base, puis utilisent des techniques d'élévation de privilèges pour obtenir davantage de contrôle.
Si votre site Web a été construit à l'aide d'une méthodologie de sécurité dès la conception et par défaut, vous serez plus protégé que si l'apparence, la convivialité et le contenu de votre site Web étaient prioritaires, la sécurité étant ajoutée après coup.
Mais quel que soit le vecteur d’attaque, l’élévation des privilèges est effectuée une fois que l’acteur malveillant a accès à votre réseau. Le but ultime peut être le sabotage, l'accès à des données sensibles, l'installation de ransomwares ou l'introduction d'autres codes malveillants tels que des logiciels espions, des rootkits et des enregistreurs de frappe.
Il existe deux types d'élévation de privilèges : l'élévation de privilèges horizontale et l'élévation de privilèges verticale.
Escalade des privilèges verticaux
Dans une attaque d'élévation de privilèges verticale, l'acteur malveillant utilise diverses techniques pour accorder au compte compromis qu'il utilise des privilèges généralement réservés aux utilisateurs disposant d'un accès plus élevé.
On l'appelle verticale élévation de privilèges parce qu'ils se promeuvent à des niveaux de capacité plus élevés et gravissent les échelons des utilisateurs. C'est la forme cybercriminelle d'ascension sociale.
Ils y parviennent en utilisant des vulnérabilités du système d'exploitation qui leur permettront de manipuler les privilèges. Ils recherchent des vulnérabilités connues et si elles sont présentes (peut-être que les correctifs de sécurité les plus récents n'ont pas été appliqués au système d'exploitation) ils peuvent utiliser ces vulnérabilités pour augmenter illégalement leurs privilèges.
Par exemple, l'exécution de données est une technique dans laquelle le code injecté est exécuté à partir de zones réservées à l'usage de Windows et de ses processus approuvés. Si l'acteur malveillant peut exécuter ses propres programmes à partir de cette zone privilégiée, il peut utiliser les droits élevés accordés à son programme pour apporter des modifications au compte utilisateur qu'il a compromis.
Si l’acteur malveillant parvient à exploiter les vulnérabilités, il obtiendra le pouvoir d’effectuer toutes les activités qu’il souhaite. Ils peuvent créer de nouveaux utilisateurs système (et superutilisateurs), accéder à n'importe quel fichier et modifier les paramètres du système. S’ils le souhaitent, ils peuvent détourner l’ensemble du réseau.
Les appareils mobiles sont également vulnérables. Les écrans de verrouillage peuvent être contournés. Évidemment, cela donne à l’acteur malveillant l’accès au contenu de l’appareil, mais cela lui donne également accès à la connectivité dont dispose l’appareil. Contient-il une adresse e-mail professionnelle ou une connexion au réseau d'entreprise ? Peut-être qu'il contient une application VPN avec des informations d'identification stockées. Cela signifie que l’acteur malveillant a un accès facile au réseau de l’entreprise.
Android et iOS ont été affectés par de telles vulnérabilités dans le passé. C'est pourquoi les programmes de correctifs et de mises à niveau doivent inclure les appareils mobiles, et l'effacement à distance des appareils mobiles d'entreprise perdus doit être mis en œuvre.
Escalade horizontale des privilèges
Dans horizontal Lors d'une élévation de privilèges, l'acteur menaçant a accès à un compte d'utilisateur régulier, tout comme l'acteur menaçant dans l'attaque d'élévation de privilèges verticale. Cependant, ils ne cherchent pas à obtenir des privilèges plus élevés et à les appliquer à leur compte compromis, ils tentent plutôt d'obtenir l'accès à d'autres comptes qui disposent déjà de ces privilèges.
Ceci est normalement réalisé en utilisant des techniques moins techniques, telles que deviner ou connaître des mots de passe faibles ou enregistrer les frappes au clavier et extraire les détails d'authentification des données enregistrées.
L'ingénierie sociale est un stratagème couramment utilisé pour contraindre les utilisateurs à révéler des informations les concernant qui peuvent donner une idée de leurs mots de passe. Parfois, les utilisateurs peuvent être persuadés de « partager » temporairement leurs identifiants de connexion pendant que « quelqu'un du service informatique » fait quelque chose sur leur ordinateur.
Éviter les vulnérabilités d’élévation de privilèges
Les vulnérabilités d’élévation de privilèges surviennent pour différentes raisons :
- Erreurs logicielles: Les applications, sites Web et autres portails mal conçus peuvent inclure des vulnérabilités qui les rendent vulnérables aux attaques Web, telles que les dépassements de tampon et les injections SQL. Les sites Web sont faciles à négliger lors de l’élaboration des calendriers de mise à jour des correctifs. N'oubliez pas de corriger les protocoles, les technologies et les frameworks utilisés par votre site Web.
- Mauvaise configuration: Donner aux utilisateurs ou aux processus des privilèges plus élevés que le minimum dont ils ont besoin pour remplir leur rôle est une mauvaise pratique. Cela se produit parfois parce qu'un problème de réseau empêche un utilisateur ou un compte d'appareil d'accéder à quelque chose auquel il devrait pouvoir accéder, et leur accorder des privilèges complets ou élevés est une solution rapide. Une mauvaise configuration délibérée reste une mauvaise configuration et tout aussi dommageable si elle est exploitée.
- Mauvaise hygiène des correctifs et de la sécurité: Ne pas appliquer de correctifs aux systèmes d'exploitation, aux applications, aux périphériques réseau et aux sites Web en temps opportun vous expose à des risques. Si vous ne maintenez pas vos correctifs à jour, vos systèmes deviendront progressivement plus exposés et affaiblis.
- Mots de passe faibles: Mettre en œuvre une politique de mots de passe qui régit la composition des mots de passe et leur sauvegarde. Assurez-vous qu'il mentionne de ne jamais partager de mots de passe et de ne jamais divulguer de mots de passe.
- Formation de sensibilisation du personnel: Tenez le personnel informé des meilleures pratiques et jouez des scénarios d’ingénierie sociale. Votre personnel ne récupérera pas ces choses par osmose comme par magie. Donnez-leur les conseils dont ils ont besoin.