Lezers zoals jij steunen MUO. Wanneer u een aankoop doet via links op onze site, kunnen we een aangesloten commissie verdienen.
Alle netwerken en besturingssystemen, hoe geavanceerd of veilig ook, hebben gebreken en kwetsbaarheden die op de een of andere manier kunnen worden misbruikt door bedreigingsactoren.
Deze beveiligingslekken maken privilege-escalatieaanvallen mogelijk, dit zijn cyberaanvallen die zijn ontworpen om ongeoorloofde en geprivilegieerde toegang te krijgen binnen een geschonden systeem.
Horizontaal versus Verticale bevoegdheidsescalatie
Elk besturingssysteem heeft ingebouwde mechanismen die onderscheid maken tussen verschillende bevoegdheidsniveaus; tussen beheerders, hoofdgebruikers, gewone gebruikers, gasten, enzovoort. Het doel van een privilege-escalatieaanval is om het hoogste privilege-niveau te bereiken, hoewel dat niet altijd mogelijk is.
Met dit in gedachten is het belangrijk om te begrijpen dat er twee hoofdtypen van privilege-escalatie zijn: horizontaal en verticaal. Beide zijn gevaarlijk, maar de verschillen tussen beide zijn aanzienlijk.
Bij een horizontale privilege-escalatieaanval krijgt een bedreigingsactor toegang tot één account en verplaatst hij zich vervolgens horizontaal over een netwerk, in een poging toegang te krijgen tot andere accounts met hetzelfde of iets dergelijks privileges. En bij een aanval met verticale privilege-escalatie probeert een cybercrimineel verticaal binnen een netwerk te bewegen: ze compromitteren één gebruiker en proberen vervolgens andere gebruikers met meer privileges in gevaar te brengen.
Hoe Privilege-escalatie plaatsvindt
Cybercriminelen gebruiken allerlei verschillende technieken, de ene ingewikkelder dan de andere, om een systeem binnen te dringen. Deze zijn onder te verdelen in drie categorieën.
1. Social engineering
In cybersecurity verwijst de term social engineering naar elke poging van een bedreigingsactor een doelwit manipuleren in actie komen. Dit omvat meestal het imiteren van een legitieme entiteit.
Een aanvaller kan bijvoorbeeld een phishing-e-mail sturen naar een laaggeplaatste medewerker van een bedrijf. Als de medewerker erin trapt, krijgt de aanvaller zijn voet door de deur van een systeem. Vervolgens proberen ze hun privileges te escaleren. Er zijn ook vishing (voice phishing) social engineering-aanvallen, waarbij de aanvaller betrokken is contact opnemen met het doelwit en zich voordoen als een gezagsdrager, bijvoorbeeld wetshandhaving of een IT professioneel.
Een cybercrimineel kan ook scareware gebruiken, een kwaadaardig programma dat het slachtoffer laat geloven dat ze dat doen software moet downloaden of actie moet ondernemen om van een virus af te komen, maar in feite opdracht geeft om te downloaden malware. Spear phishing, walvisvangst en pharming-aanvallen komen ook vrij vaak voor.
2. Malware
Malware (d.w.z. kwaadaardige software) kan worden gebruikt om zowel een systeem binnen te dringen als om privilege-escalatie uit te voeren zodra het erin zit. Als een aanvaller bijvoorbeeld een kans ziet om verticale privilege-escalatie uit te voeren, kan hij rootkits inzetten en in wezen volledige controle over een systeem krijgen.
Aan de andere kant kan ransomware bijzonder nuttig zijn voor horizontale escalatie van bevoegdheden, omdat het de neiging heeft zich snel te verspreiden met als doel alle gegevens waartoe het toegang heeft te vergrendelen. Wormen worden ook gebruikt bij horizontale escalatie van bevoegdheden, omdat ze zichzelf standaard repliceren.
Spyware-aanvallen zijn een andere geweldige manier voor bedreigingsactoren om in te breken in een systeem. Als een cybercrimineel erin slaagt spyware op een systeem te installeren, krijgen ze de mogelijkheid om dat te doen gebruikersactiviteit bewaken, inclusief toetsenbordaanslagen of schermafbeeldingen. Op deze manier kunnen ze toegang krijgen tot gebruikersreferenties, accounts compromitteren en privilege-escalatie uitvoeren.
3. Aanvallen op basis van referenties
Om de beveiliging van een organisatie te omzeilen, maken cybercriminelen ook gebruik van op referenties gebaseerde aanvallen, waarbij het doel is om toegang te krijgen tot de wachtwoorden en gebruikersnamen van gebruikers. Organisaties die geen tweefactorauthenticatie gebruiken, zijn bijzonder kwetsbaar voor deze aanvallen, omdat werknemers hebben de neiging om wachtwoorden opnieuw te gebruiken, ze te delen met collega's of ze in platte tekst op hun computer op te slaan computers.
Cybercriminelen kunnen op veel manieren toegang krijgen tot inloggegevens, waaronder pass-the-hash-aanvallen en credential stuffing, waarbij lijsten met gebruikersnamen en wachtwoorden worden gebruikt die bij eerdere inbreuken aan het licht zijn gekomen en op het dark web zijn gelekt. Wachtwoord-spraying en brute-force-aanvallen komen minder vaak voor, maar komen nog steeds voor. Hetzelfde kan worden gezegd van schoudersurfen, waarbij het gaat om het volgen van de acties van geprivilegieerde gebruikers via keyloggers en soortgelijke kwaadaardige software, via spionagecamera's of zelfs persoonlijk.
Aanvallen op basis van inloggegevens zijn bijzonder gevaarlijk omdat kwaadwillenden gestolen inloggegevens kunnen gebruiken om zich onopgemerkt door een systeem te verplaatsen, waardoor hun bevoegdheden toenemen.
Bedreigingsactoren kunnen alle combinaties van het bovenstaande gebruiken om zich op een systeem te richten. Deze aanvalsmethoden zijn vaak op meer dan één manier met elkaar verweven. Een enkele scheur in een systeem of netwerk, hoe minuscuul of perifeer ook, kan een opening bieden voor een cybercrimineel om de verdediging van een organisatie te doorbreken. En zodra ze een netwerk betreden, zoeken ze naar manieren om privileges te escaleren en toe te slaan.
Hoe Privilege-escalatieaanvallen te voorkomen
Privilege-escalatieaanvallen zijn bijna uitsluitend gericht op organisaties, in tegenstelling tot individuen, dus bescherming tegen hen vereist een allesomvattende en holistische benadering van beveiliging.
Elk serieus bedrijf moet strikte administratieve controles instellen - een reeks voorschriften die alle werknemers moeten begrijpen en te allen tijde moeten respecteren. Dit heeft vooral te maken met het stellen van strikte regels voor het verlenen van toegang, of beter gezegd ervoor zorgen dat medewerkers alleen toegang hebben tot wat ze nodig hebben om hun taken goed uit te voeren. Zelfs beheerders of hoofdgebruikers zouden geen brede machtigingen moeten hebben.
Bedreigingen van binnenuit, of kwaadaardig of niet-kwaadaardig, zijn oorzaak nummer één van datalekken. Om deze reden is het absoluut noodzakelijk om een strikt wachtwoordbeleid te hebben. Een goed wachtwoordbeleid omvat het gebruik van complexe wachtwoorden, periodieke wachtwoordwijzigingen, twee- of meerfactorauthenticatie en duidelijke richtlijnen voor wachtwoordbeheer.
Daarnaast vormen technische controles als zodanig de basis van elk goed beveiligingsarrangement. Het is cruciaal om sterke encryptieprotocollen te gebruiken, sterke en betrouwbare antimalwaresoftware te installeren, op te zetten firewalls, en pakken regelmatig eventuele kwetsbaarheden in een systeem aan, hetzij via patches en updates, of anderszins waarborgen.
De beste manier om je te verdedigen tegen escalatie van privileges
Alle software is kwetsbaar voor cyberaanvallen, die met de dag geavanceerder worden. Voeg bedreigingen van binnenuit toe aan de mix en het is gemakkelijk in te zien waarom elke organisatie, ongeacht de grootte, goede bescherming nodig heeft om zich te beschermen tegen gegevensdiefstal en andere bedreigingen.
Er is misschien geen pasklare oplossing voor cyberbeveiliging, maar er zijn een aantal verschillende manieren om de kwestie effectief aan te pakken. En misschien wel de beste manier om een systeem te beveiligen, is het bouwen van een zero trust-beveiligingsinfrastructuur, omdat deze meerdere lagen van privilegecontrole en authenticatiemechanismen omvat.
