防範許可權提升攻擊的六種手段

程式安全牛

目前,主流的作業系統和業務系統都依賴許可權管理來限制不同使用者和設備對系統應用功能、業務資料和配置服務的訪問。因此,訪問許可權是一項至關重要的安全特性,可以控制使用者訪問及使用系統或應用程序及關聯資源的程度。通過觀察很多安全事件發現,較低的許可權將使攻擊者訪問活動受到很多的限制,也無法進行獲取Hash、安裝軟體、修改防火牆規則和修改註冊表等各種操作,所以攻擊者往往會先進行許可權提升攻擊,在獲取更高的訪問許可權後,在開展更具破壞性的其他攻擊。

提權攻擊的類型和原理

許可權提升攻擊的目的是,獲得網路或線上服務中諸多系統和應用程序的額外許可權,攻擊主要分為兩大類:

1. 橫向許可權提升。這種攻擊主要是用於獲取更多同級別賬號的許可權,攻擊者在成功訪問現有的使用者或設備賬戶之後,會利用各種渠道進入並控制更多其他使用者賬戶。雖然這招不一定會讓駭客獲得更高等級許可權,但如果駭客收集了大量攻擊目標的使用者資料及其他資源,可能會對受害者造成進一步危害。一些系統漏洞會導致跨站腳本、跨站偽造請求及其他類型的攻擊,以獲得另一個使用者的登入憑據或身份驗證資料,並獲得訪問賬戶的許可權。

2.縱向許可權提升。這是一種更加危險的許可權升級攻擊,因為攻擊者也許能夠控制整個網路。通常是多階段網路攻擊的第二個階段。攻擊者利用系統錯誤配置、漏洞、弱密碼和薄弱的訪問控制來獲得管理許可權;通過這種許可權,他們就可以進而訪問網路上的其他資源。一旦擁有更強大的許可權,攻擊者就可以安裝惡意軟體和勒索軟體,改變系統設置,並竊取資料。

以下是惡意攻擊者用來實施許可權升級攻擊的常見方法,前兩種方法多用於橫向許可權升級攻擊,但衝攻擊者的最終目的分析,很多受攻擊的賬戶最終還是被用於縱向許可權提升。

•社會工程攻擊

社會工程攻擊(包括網路釣魚、水坑攻擊和域欺騙)通常被用來誘騙使用者洩露其賬戶憑據,就這種類型的攻擊而言,攻擊者不需要發動複雜的攻擊,即可繞過系統的安全防禦。

•弱密碼竊取

弱密碼、重用密碼或共享密碼是攻擊者未經授權訪問賬戶的一條捷徑。如果該賬戶擁有管理許可權,整個網路應用系統會立即面臨被嚴重破壞的危險。

•系統配置錯誤

如果安全設置未嚴加保護或發生漂移,也讓攻擊者有機會獲得過大的許可權,擁有公共訪問權的雲儲存桶就是例子。配置不當的網路防禦(比如防火牆和敞開且不受保護的埠),以及重要賬戶的默認密碼和新安裝應用程序的不安全默認設置(這兩種情況在物聯網設備上特別常見),都為攻擊者獲取額外許可權提供了可趁之機。

•惡意軟體攻擊

有多種惡意軟體(比如鍵盤記錄器、記憶體抓取器和網路嗅探器)可以竊取使用者密碼。惡意軟體一旦進入網路,獲得被攻擊賬戶的許可權,就可以觸發更危險的攻擊。

•系統漏洞

在系統的設計、實現或配置中任何暴露的漏洞都可能使攻擊者能夠通過執行惡意程式碼來獲得shell訪問權,從而獲得賬戶許可權。

防範許可權升級攻擊的六種手段

與任何網路攻擊一樣,許可權升級攻擊會綜合利用網路上運行的諸多服務和應用程序的漏洞,尤其是訪問控制薄弱的服務和應用程序。許可權升級往往是全面網路攻擊的一個關鍵性階段,企業組織需要採取有效的安全控制措施來防止這類攻擊,並定期維護。以下6種方法有助於企業IT系統更好應對許可權提升攻擊的威脅和挑戰。

1.實施最小許可權原則

實施最小許可權原則,將使用者和服務的訪問許可權限制到最低限度,這可以減小攻擊者獲得管理級許可權的機會。安全團隊和人力資源部門應該密切合作,實現統一許可權管理,防止不必要的許可權蔓延,儘量縮減許可權賬戶的數量和範圍,同時監控和記錄賬戶的活動,這也有助於標記任何潛在的濫用活動,提前發現攻擊風險。

2. 及時補丁修復

及時進行補丁修復,減小攻擊者發現可利用漏洞的機會,是阻止任何一種網路攻擊的最佳方法。全面的補丁管理策略可以使攻擊者更難利用系統和應用程序的漏洞。尤其是,企業應定期更新瀏覽器和防毒軟體。

3. 執行漏洞掃描

定期掃描IT基礎架構中所有部件/元件的漏洞,將使那些已經入網路的潛在攻擊者更難在網路中站穩腳跟。漏洞掃描可以搶在潛在攻擊者真正發起攻擊前,更早發現錯誤配置、未記入文件的系統更改、未打補丁或不安全的作業系統和應用程序以及其他缺陷,從而避免被攻擊者實際利用。

4. 監控網路流量和行為

如果攻擊者成功獲得了網路使用者的憑據,其行蹤往往很難被發現,除非持續監控網路,留意各種不尋常的流量或異常性使用者行為。使用者和實體行為分析(UEBA)軟體可以為合法行為設立基準,標記異常使用者活動,發現一些被攻陷賬戶的潛在威脅。

5. 制定強大的密碼策略

密碼策略是防止橫向許可權升級攻擊的有效方法,與多因素身份驗證(MFA)結合使用尤其有效。第三方密碼管理工具可以幫助使用者生成並安全儲存滿足安全策略規則的獨特且複雜的密碼。所有擁有管理許可權的賬戶都應該要求採用MFA,而用於機器身份驗證的數字憑據則應該定期輪換。

6. 開展安全意識培訓

人通常是任何組織的安全中最薄弱的一環。他們可能使用弱密碼、點選惡意連結或附件,忽略有關危險網站的警告,從而不知不覺中幫助許可權升級攻擊。定期開展安全意識培訓,可確保新的威脅得到清楚的解釋,並使員工對安全策略記憶猶新。應強調共享賬戶和憑據帶來的危險和風險。

許可權升級攻擊是最嚴重的攻擊之一。一項經過充分演練的應急方案至關重要。如果發現許可權升級事件,必須迅速隔離被攻擊的賬戶,修改密碼,然後禁用該賬戶。隨後,安全團隊必須進行深入調查,以發現攻擊的程度,並確定被攻擊的資源。

參考連結:

https://www.techtarget.com/searchsecurity/tip/6-ways-to-prevent-privilege-escalation-attacks