權限提升是 利用 操作系統(tǒng)或應用程序 中的編程錯誤、 漏洞、設計缺陷、配置監(jiān)督或 訪問控制來獲得對通常被應用程序或用戶限制的資源的未經(jīng)授權的訪問。這導致應用程序或用戶擁有比開發(fā)人員或系統(tǒng)管理員預期更多的權限，從而允許攻擊者訪問 敏感數(shù)據(jù)、安裝 惡意軟件 并發(fā)起其他 網(wǎng)絡攻擊。

權限提升如何工作？

大多數(shù)計算機系統(tǒng)都設計為與多個用戶帳戶一起使用，每個帳戶都具有稱為特權的能力。通用權限包括查看、編輯或修改文件的能力。權限提升是指攻擊者通過利用目標系統(tǒng)或應用程序中的權限提升漏洞獲得他們無權獲得的權限，這使他們可以覆蓋當前用戶帳戶的限制。權限提升是惡意用戶獲取系統(tǒng)初始訪問權限的常用方法。攻擊者首先找到組織網(wǎng)絡安全中的弱點， 以初步滲透到系統(tǒng)中。

在許多情況下，第一個滲透點不會為攻擊者提供他們需要的文件系統(tǒng)的訪問級別或訪問權限。然后，他們將嘗試提升權限以獲得更多權限或訪問其他更敏感的系統(tǒng)。在某些情況下，嘗試提權的攻擊者發(fā)現(xiàn)大門是敞開的。信息安全不足 、未遵循 最小權限原則 以及缺乏 縱深防御， 使普通用戶獲得的權限超出了他們的需要。在其他情況下，攻擊者利用糟糕的修補節(jié)奏、 零日漏洞 或使用特定技術來克服操作系統(tǒng)的權限機制。

為什么防止特權升級很重要？

雖然權限提升通常不是攻擊者的最終目標，但它經(jīng)常用于準備更具體的網(wǎng)絡攻擊，允許入侵者部署惡意負載、調(diào)整安全設置并在目標系統(tǒng)中打開額外的攻擊向量。

每當您檢測或懷疑特權升級時，請使用 數(shù)字取證 來查找其他惡意活動的跡象，例如 計算機蠕蟲、 惡意軟件、 企業(yè)間諜活動、 數(shù)據(jù)泄露、 數(shù)據(jù)泄露、 中間人攻擊 和被盜 的個人身份信息 (PII)， 受保護的健康信息 (PHI)、 心理數(shù)據(jù) 或 生物特征。

即使沒有進一步攻擊的證據(jù)，特權升級事件也代表著重大的 網(wǎng)絡安全風險 ，因為這意味著有人未經(jīng)授權訪問特權帳戶和機密或敏感信息。在許多行業(yè)中，這些事件需要在內(nèi)部和相關當局報告，以確保合規(guī)。

特權提升的兩種類型是什么？

有兩種主要的權限提升技術：

• 垂直權限提升（權限提升）： 攻擊者試圖獲得更高的權限或使用他們已經(jīng)破壞的現(xiàn)有帳戶進行訪問。例如，攻擊者接管網(wǎng)絡上的常規(guī)用戶帳戶并嘗試獲得管理權限。通常是 Microsoft Windows 上的管理員或系統(tǒng)用戶，或 Unix 和 Linux 系統(tǒng)上的 root。一旦他們獲得提升的權限，攻擊者就可以竊取有關特定用戶的 敏感數(shù)據(jù)，安裝勒索軟件、 間諜軟件 或其他 類型的惡意軟件，執(zhí)行惡意代碼并破壞您組織的安全狀況。
• 橫向權限提升： 攻擊者通過接管特權帳戶并濫用授予用戶的合法權限來擴展其權限。對于本地權限提升攻擊，這可能意味著劫持具有管理員權限或 root 權限的帳戶，對于 Web 應用程序可能意味著獲得對用戶銀行帳戶或 SaaS 應用程序管理員帳戶的訪問權限。

什么是特權提升的例子？

三種常見的權限提升技術是：

• 訪問令牌操作： 利用 Microsoft Windows 管理管理員權限的方式。通常，Windows 使用訪問令牌來確定正在運行的進程的所有者。通過令牌操作，攻擊者欺騙系統(tǒng)，使其相信正在運行的進程屬于不同的用戶，而不是實際啟動進程的用戶。發(fā)生這種情況時，該進程將采用與攻擊者的訪問令牌相關聯(lián)的安全上下文。這是特權提升或垂直特權提升的一種形式。
• 繞過用戶帳戶控制： Windows 有一種用于控制用戶權限的結構化機制，稱為用戶帳戶控制 (UAC)，它充當普通用戶和管理員之間的屏障，限制標準用戶權限，直到管理員授權增加權限。但是，如果計算機上的 UAC 保護級別未正確配置，則某些 Windows 程序將被允許提升權限或執(zhí)行組件對象模型 (COM) 對象，而無需先請求管理員權限。例如，rundll32.exe 可以加載動態(tài)鏈接庫 (DLL)，該動態(tài)鏈接庫 (DLL) 會加載具有提升權限的 COM 對象，從而允許攻擊者繞過 UAC 并獲得對受保護目錄的訪問權限。
• 使用有效帳戶： 攻擊者未經(jīng)授權訪問具有提升權限的管理員或用戶，并使用它登錄敏感系統(tǒng)或創(chuàng)建自己的登錄憑據(jù)。

如何防止權限提升攻擊

攻擊者使用許多權限提升技術來實現(xiàn)他們的目標。好消息是，如果您可以快速檢測到成功或嘗試的權限提升攻擊，您就有很大的機會在入侵者發(fā)動主要攻擊之前阻止他們。

為了首先嘗試提權，攻擊者通常需要獲得對特權較低的帳戶的訪問權限。這意味著普通用戶帳戶是您的第一道防線，請確保投資于強大的 訪問控制：

• 實施密碼策略： 提高安全性的最簡單方法之一是實施安全密碼。不要重復使用密碼，因為它們可能會在 大數(shù)據(jù)泄露中暴露出來。 請參閱我們的指南，了解如何創(chuàng)建強密碼 并投資工具以 持續(xù)監(jiān)控泄露的憑據(jù)。
• 創(chuàng)建具有最低必要權限和文件訪問權限的專用用戶和組：安全上下文中的最低權限原則 是指僅向普通用戶提供他們完成工作所需的一組權限，僅此而已。 閱讀我們的訪問控制指南了解更多信息。雖然為每個用??戶提供對所有資源的相同訪問級別很方便，但它為攻擊者提供了進入您組織的單點入口，在您的 數(shù)據(jù)安全、 信息安全 和 網(wǎng)絡安全工作中采用深度防御要安全得多 。
• 投資于網(wǎng)絡安全意識培訓： 即使您的組織擁有強大、強制執(zhí)行的密碼策略，網(wǎng)絡釣魚和魚叉式網(wǎng)絡釣魚等社會工程攻擊也可能導致網(wǎng)絡犯罪分子訪問您的敏感系統(tǒng)。對您的員工和第三方供應商進行常見 網(wǎng)絡威脅 以及如何避免它們的教育。啟用 DMARC 以防止 電子郵件欺騙 并購買潛在 的仿冒 域名。

對于應用程序的安全性，至關重要的是：

• 避免應用程序中的常見編程錯誤： 遵循最佳實踐以避免攻擊者針對的常見錯誤，例如緩沖區(qū)溢出、代碼注入和未經(jīng)驗證的用戶輸入。 閱讀我們的服務器強化指南， 并 投資一個工具來監(jiān)控意外數(shù)據(jù)泄露。
• 保護數(shù)據(jù)庫并清理用戶輸入： 數(shù)據(jù)庫是有吸引力的目標，因為許多 Web 應用程序將 敏感數(shù)據(jù)存儲 在數(shù)據(jù)庫中，包括登錄憑據(jù)、用戶數(shù)據(jù)和支付方式。一次 SQL 注入可以讓攻擊者訪問所有這些信息，并允許他們發(fā)起額外的 網(wǎng)絡攻擊。糟糕的 配置管理 會導致 數(shù)據(jù)泄露 ，這就是為什么對 靜態(tài) 和傳輸中的數(shù)據(jù) 進行加密很重要的原因。

并非所有的權限提升都依賴于用戶帳戶，可以通過利用應用程序操作系統(tǒng)和 配置管理中的漏洞來獲得管理員權限，通過以下方式最小化您的攻擊面：

• 保持系統(tǒng)和應用程序更新： 許多攻擊 利用CVE中 列出的 已知 漏洞。通過保持一致的修補節(jié)奏，您可以最大限度地減少這種 網(wǎng)絡安全風險。
• 確保文件、目錄和 Web 服務器的權限正確： 遵循 最小權限原則，檢查 S3 安全設置 ，確保只有需要訪問的人才能訪問。
• 關閉不必要的端口并刪除未使用的帳戶：默認系統(tǒng)配置通常包括在開放端口上運行的不必要服務和任意代碼，每一個都是潛在的 攻擊向量。刪除默認和未使用的帳戶，以避免攻擊者和前雇員訪問敏感系統(tǒng)。
• 避免使用默認登錄憑據(jù)：這似乎很明顯，但許多組織未能更改其設備（例如打印機、路由器和物聯(lián)網(wǎng)設備）上的默認登錄憑據(jù)。無論您的 網(wǎng)絡安全性有多安全 ，一臺路由器使用默認的管理員/密碼登錄憑據(jù)可能足以讓攻擊者入侵。
• 刪除或限制文件傳輸功能： FTP、TFPT、wget、curl等文件傳輸功能是下載和執(zhí)行惡意代碼或惡意可寫的常用方式。考慮刪除這些工具或將它們的使用限制在特定目錄、用戶和應用程序中。

請記住 ，信息風險管理 和 信息安全政策 不能止步于您的組織：

• 監(jiān)控您的第三方和第四方供應商： 攻擊者可以利用您的供應商訪問您的組織。這就是為什么 供應商風險管理 是防止特權升級攻擊的基本部分。請記住，供應商風險管理是 FISMA、 GLBA、 PIPEDA 和 NIST 網(wǎng)絡安全框架的監(jiān)管要求。
• 避開網(wǎng)絡安全性較差的供應商： 詢問供應商的SOC 2報告和信息安全政策。
• 使您的供應商風險管理現(xiàn)代化： 開發(fā) 風險評估方法、 第三方風險管理框架 和 供應商管理政策。考慮使用已建立的 供應商風險評估問卷模板 ，您可以使用該模板來了解供應商的安全狀況。
• 自動化供應商風險管理： 投資一種工具，該工具可以 根據(jù) 50 多個標準對供應商的安全狀況進行評級 ，并為其分配 安全評級。這可以大大降低您的第三方風險和第四方風險。

如果您想了解您組織的外部安全狀況， 請使用我們的免費安全掃描程序查看您的外部攻擊面。