Ayrıcalık Yükseltme Saldırısı Nedir?
Ayrıcalık yükseltme saldırıları, bir ağa, uygulamalara ve görev açısından kritik sistemlere erişimi artırmak amacıyla zayıflıklardan ve güvenlik açıklarından yararlanır. Dikey ve yatay dahil olmak üzere iki tür ayrıcalık yükseltme saldırısı vardır. Dikey saldırılar, bir saldırganın bu kullanıcı olarak eylemler gerçekleştirmek amacıyla bir hesaba erişmesi olabilir. Yatay saldırılar, istenen eylemleri gerçekleştirmek için yönetici rolü gibi ayrıcalıkların artmasını gerektiren sınırlı izinlere sahip hesaplara erişim kazanır.
Her iki saldırıda sisteme sızmak için ve sızma işleminin ardından root olmaya çalışma mantığında hareket eder. Bu sayede hedef sistemi istedikleri gibi kontrol edebilir, sistemi istekleri doğrultusunda kullanabilirler. Saldırgan her iki temelde de belli başlı ve kritik açıklardan yararlanır.
Saldırganlar genelde şu açıklardan yararlanır;
- XSS Zafiyeti
- IDOR Zafiyeti
- SQL Enjeksiyonu
- Komut Enjeksiyonu
- Site Korumasını Bypasslama
- Güvensiz şifre kullanımları
Ayrıcalık yükseltme saldırıları, bir tehdit aktörü bir çalışanın hesabına eriştiklerinde, uygun yetkilendirme kanalını atladığında ve sahip olmamaları gereken verilere başarıyla erişim izni verdiğinde oluşur. Bu saldırıları dağıtırken tehdit aktörleri genellikle verileri sızdırmaya, iş işlevlerini kesintiye uğratmaya veya arka kapılar oluşturmaya çalışır. Bununla birlikte sızdırılan herhangi bir virüs sistem içerisinde daha çok yayılmaya başlayabilir.
Örnek olarak bu görselle tarif edebiliriz. Hiçbir yetkisi olmayan bir ziyaretçi (saldırgan) kritik açıklardan, zafiyetlerden faydalanarak ki bu aynı zamanda zayıf şifre kullanımları, site güvensizliği, veri trafiği problemlerine bağlı olarak değişkenlik gösterir, sisteme sızar ve kendi yetkisini yükseltir. En sonunda ise sistemde root olur ve bu başlı başına büyük bir sorundur. Sistem artık tamamen onun olur ve tüm veriler, şifreler, hesaplar ve alt yapı kontrolüne geçer.
Ayrıcalık yükseltme saldırılarının genel olarak iki adet türü bulunmaktadır. Bunlar dikey ve yatay ayrıcalık yükseltme saldırılarıdır. Şimdi bunlara bir göz atalım;
Dikey Ayrıcalık Yükseltme
Dikey ayrıcalık yükseltmesi, bir saldırgan bu kişi olarak eylemleri gerçekleştirmek amacıyla doğrudan bir hesaba eriştiklerinde oluşur. İzinleri yükseltme arzusu olmadığından, bu tür bir saldırıyı başarmak daha kolaydır. Buradaki amaç, bir saldırıyı daha da yaymak veya kullanıcının izin verdiği verilere erişmek için bir hesaba erişmektir.
Her gün bu saldırıyı gerçekleştirmeye çalışan çok sayıda kimlik avı e-postası binlerce kişiye farklı saatlerde gönderilir. İster bir "banka", ister büyük bir şirket "Amazon" vb. veya diğer sayısız e-ticaret sitesi olsun, saldırı her zaman aynıdır. "Etkin olmayan hesabınız etkinlik nedeniyle devre dışı bırakılacaktır. Hesabınızı aktif tutmak için lütfen bu linke tıklayın ve giriş yapın." Bununla birlikte bu çok kez karşılaşılan klasik bir kimlik avı şablonunun bir örneğidir.
Tabi bu saldırıya örnekler farklı ve daha çok şekilde örneklendirilerek verilebilir. Saldırganlar genel olarak örneğin amazon hesabı çalmaya çalışacaksa amazon şirketinin login giriş kısmının scriptini birebir olarak kopyalar kendince editler ve bu mesajı mail, dm veya telefon mesajı yoluyla hedef kişi/kişilere gönderir. Gelen mesajı okuyan kişi birebir amazon giriş scriptinin aynısını olduğundan fake (sahte) olduğunu anlayamaz ve bilgilerini girer.
Bilgilerini girdikten sonra artık deyim yerindeyse tavşan bayırı geçmiştir. Saldırgan direkt olarak harekete geçer ve hesabı ele geçirir. Ancak şuan günümüzde amazon gibi büyük ve gelişmiş şirketler çift faktörlü korumaları devreye soktuğundan bu yöntemler genel olarak başarısız olacaktır.
Yatay Ayrıcalık Yükseltme
Yatay ayrıcalık yükseltme, saldırganın hesap kimlik bilgilerine erişmesini ve izinleri yükseltmesini gerektirdiği için biraz zordur. Bu tür bir saldırı, belirli işletim sistemlerini veya bilgisayar korsanlığı araçlarının kullanımını etkileyen güvenlik açıklarının derinlemesine anlaşılmasını gerektirir.
Kimlik avı kampanyaları, hesaba erişmek için saldırının ilk bölümünü gerçekleştirmek için kullanılmıştır. İzinleri yükseltme söz konusu olduğunda, saldırganın aralarından seçim yapabileceğiniz birkaç seçeneği vardır. Bir seçenek, sistem veya kök düzeyinde erişim elde etmek için işletim sistemindeki güvenlik açıklarından yararlanmaktır. Bir sonraki seçenek, işi biraz daha kolaylaştırmak için M e t a s p l o i t gibi hack araçlarını kullanmak olacaktır.
Diğer saldırı yöntemlerinde de olduğu gibi ilk olarak hedef hakkında bilgiler toplanır. Bu bilgiler doğrultusunda açık olup olmadığı anlaşılır. Var olan bir zafiyete göre sızma işlemi gerçekleştirilir. Sızma işleminin ardından sistem ele geçirilir. Yapılacak saldırı yapılır ve saldırı izleri silinir. Son olarak çıkış yapılır.
Örnek olarak;
M e t a s p l o i t , çoğu bilgisayar korsanı için iyi bilinen bir araçtır ve bilinen açıklardan oluşan bir kütüphane içerir. Android cihazlar söz konusu olduğunda, M e t a s p l o i t köklü Android cihazlara karşı kullanılabilir.
Bir Android cihaz köklendikten sonra, komutların kök olarak çalıştırılmasına izin veren bir SU ikilisi kullanılabilir hale gelir. Aşağıdaki örnek, bu istismarın kök olarak "seçenekleri göster" ve "gelişmiş göster" olarak çalıştırmak için nasıl çalıştırılacağını gösterir.
Ayrıcalık Yükseltme Saldırısı Nasıl Önlenir ?
Ne yazık ki, kullanıcılar güvenlik zincirinin en zayıf halkasıdır. Tek bir tıklamayla bir sistemi veya ağı tehlikeye atabilirler. Bu riski azaltmak için işletmeler, eğitimin etkinliğini doğrulamak için bir metodoloji ile birlikte güvenlik farkındalığı programları uygular. Çoğu durumda, GoPhish veya Phishme gibi kimlik avı simülasyon yazılımı, kullanıcıları kimlik avı e-posta girişimlerini tanımlamaları için yeterince eğitebilir.
Ayrıcalık yükseltme, diğer siber saldırılar gibi, sistem ve süreç güvenlik açıklarından yararlanır. Bu saldırıları önlemek için, düzeltme eki yönetimi, yeni yazılım geliştirme/uygulama ve kullanıcı hesabı değiştirme isteklerinin yanı sıra bu tür değişiklikleri izlemek için otomatik bir araç için uygun işlemleri uygulamayı düşünün.
Bu işlemi uygulamak, saldırganın ayrıcalık yükseltme girişimini önlemek veya caydırmak için uygun güvenlik önlemlerini sağlayacaktır. Son olarak, bir izinsiz giriş algılama sistemi (IDS) ve/veya izinsiz girişi önleme sistemi (IPS), ayrıcalıkları artırım girişimlerini raydan çıkarmak için ek bir güvenlik katmanı sağlar.
Bu olay sırasında ne yapabilirsiniz?
Bu durumda, kendinizi bu tür bir saldırıyla karşı karşıya bulursanız, önce olayı izole etmek önemlidir. Güvenliği ihlal edilen hesabı algıladıysanız parolayı değiştirin ve hesabı devre dışı bırakın. Sistemi kontrol edin ve anormal hesapları devre dışı bırakın ve bu makineyle ilişkili tüm kullanıcı hesabı parolalarını sıfırlayın.
Güvenlik sistemine göz atın anormal bir durum algılarsanız müdahale etmekten çekinmeyin. Sisteme ardı ardına girebilecek davetsiz misafirlere karşı sitenizdeki korumaları aktif edin ve bunları düzenli olarak her gün kontrol edin. Sunucu bakımınızı yapmayı ve sitede zafiyet taraması yaptırarak güvenlik tedbirlerinizi ihmal etmeyin.
Konumuzun sonuna geldik okuduğunuz için teşekkürler. Başka bir konuda görüşmek üzere!