Privilege escalation nedir ve neden önemlidir?
Ayrıcalık yükseltme, kötü amaçlı bir kullanıcı, normalde kullanılamaması gereken kaynaklara yüksek erişim sağlamak için bir uygulama veya işletim sistemindeki bir hatayı, tasarım kusurunu veya yapılandırma hatasını kullandığında gerçekleşir. Saldırgan, gizli verileri çalmak, yönetim komutlarını çalıştırmak veya kötü amaçlı yazılım dağıtmak için yeni elde edilen ayrıcalıkları kullanabilir ve işletim sisteminize, sunucu uygulamalarınıza, kuruluşunuza ve itibarınıza ciddi zarar verebilir. Bu gönderi, tipik ayrıcalık yükseltme senaryolarını inceler ve sağlam bir siber güvenlik duruşunu korumak için sistemlerinizdeki ve web uygulamalarınızdaki kullanıcı hesaplarını nasıl koruyacağınızı gösterir.
Ayrıcalık yükseltme türleri
Genel olarak, saldırganlar, bir sistem veya uygulamadaki ilk kullanıcı hesabının sınırlamalarını geçersiz kılmak için ilk saldırı aşamasında ayrıcalık yükseltme güvenlik açıklarından yararlanır. İki ana ayrıcalık yükseltme türü vardır: farklı bir kullanıcının işlevselliğine ve verilerine erişmek için yatay ayrıcalık yükseltme ve genellikle bir sistem yöneticisinin veya başka bir güç kullanıcısının yükseltilmiş ayrıcalıklarını elde etmek için dikey ayrıcalık yükseltme.
Yatay ayrıcalık yükseltmesiyle, kötü amaçlı aktörler aynı genel ayrıcalık düzeyinde kalır, ancak kendileri için kullanılamaması gereken diğer hesapların veya işlemlerin verilerine veya işlevlerine erişebilir. Örneğin, bu, diğer office kullanıcılarının verilerine erişmek için güvenliği ihlal edilmiş bir office iş istasyonu kullanmak anlamına gelebilir. Web uygulamaları için, yatay yükseltme örneklerinden biri, kimlik doğrulamasını atlamak ve bir sosyal sitede, e-ticaret platformunda veya e-bankacılık sitesinde başka bir kullanıcının hesabına erişmek için oturum kaçırma kullanıyor olabilir.
Daha tehlikeli olan dikey ayrıcalık yükselmesidir (ayrıcalık yükselmesi olarak da adlandırılır), saldırganın daha ayrıcalıklı bir hesabın haklarını kazandığı yerlerde – genellikle Microsoft Windows'ta yönetici veya sistem kullanıcısı veya Unix ve Linux sistemlerinde kök. Bu yüksek erişim seviyesi ile saldırgan, bilgisayar sistemlerinizde ve uygulamalarınızda her türlü hasara yol açabilir: erişim kimlik bilgilerini ve hassas verileri çalmak, fidye yazılımı indirmek ve yürütmek, verileri silmek veya keyfi kod yürütmek. Gelişmiş saldırganlar, erişim günlüklerini ve etkinliklerinin diğer kanıtlarını silerek izlerini örtmek için yükseltilmiş ayrıcalıklar kullanacak ve kurbanı bir saldırının gerçekleştiğinden habersiz bırakacaktır. Bu şekilde, siber suçlular gizlice bilgi çalabilir ve şirket sistemlerine arka kapılar veya diğer kötü amaçlı yazılımlar yerleştirebilir.
Yatay ayrıcalık yükseltmesiyle, kötü amaçlı aktörler aynı genel ayrıcalık düzeyinde kalır, ancak kendileri için kullanılamaması gereken diğer hesapların veya işlemlerin verilerine veya işlevlerine erişebilir. Örneğin, bu, diğer office kullanıcılarının verilerine erişmek için güvenliği ihlal edilmiş bir office iş istasyonu kullanmak anlamına gelebilir. Web uygulamaları için, yatay yükseltme örneklerinden biri, kimlik doğrulamasını atlamak ve bir sosyal sitede, e-ticaret platformunda veya e-bankacılık sitesinde başka bir kullanıcının hesabına erişmek için oturum kaçırma kullanıyor olabilir.
Daha tehlikeli olan dikey ayrıcalık yükselmesidir (ayrıcalık yükselmesi olarak da adlandırılır), saldırganın daha ayrıcalıklı bir hesabın haklarını kazandığı yerlerde – genellikle Microsoft Windows'ta yönetici veya sistem kullanıcısı veya Unix ve Linux sistemlerinde kök. Bu yüksek erişim seviyesi ile saldırgan, bilgisayar sistemlerinizde ve uygulamalarınızda her türlü hasara yol açabilir: erişim kimlik bilgilerini ve hassas verileri çalmak, fidye yazılımı indirmek ve yürütmek, verileri silmek veya keyfi kod yürütmek. Gelişmiş saldırganlar, erişim günlüklerini ve etkinliklerinin diğer kanıtlarını silerek izlerini örtmek için yükseltilmiş ayrıcalıklar kullanacak ve kurbanı bir saldırının gerçekleştiğinden habersiz bırakacaktır. Bu şekilde, siber suçlular gizlice bilgi çalabilir ve şirket sistemlerine arka kapılar veya diğer kötü amaçlı yazılımlar yerleştirebilir.
privilege escalation neden bu kadar tehlikeli?
Ayrıcalık yükseltme genellikle çok aşamalı bir saldırının bir parçasıdır ve davetsiz misafirlerin hedeflenen sistemde kötü amaçlı bir yük dağıtmasına veya kötü amaçlı kod çalıştırmasına izin verir. Bu, ayrıcalık yükselişini algıladığınızda veya şüphelendiğinizde, diğer kötü amaçlı etkinlik belirtilerini de aramanız gerektiği anlamına gelir. Ancak, daha fazla saldırı kanıtı olmasa bile, herhangi bir ayrıcalık yükseltme olayı kendi başına bir bilgi güvenliği sorunudur, çünkü birisi kişisel, gizli veya başka türlü hassas verilere yetkisiz erişim kazanmış olabilir. Çoğu durumda, bu uyumu sağlamak için dahili olarak veya ilgili makamlara bildirilmelidir.
Daha da kötüsü, ayrıcalık yükseltme olaylarını tespit etmek için rutin ve kötü amaçlı etkinlik arasında ayrım yapmak zor olabilir. Bu henüz uzlaşma sistemi ya da uygulama güvenliği kötü niyetli eylemleri gerçekleştirmek meşru erişimi olabilecek rogue kullanıcıları için özellikle doğrudur. Bununla birlikte, başarılı veya teşebbüs edilen ayrıcalık artışını hızlı bir şekilde tespit edebiliyorsanız, davetsiz misafirleri ana saldırılarını başlatmak için bir dayanak oluşturmadan önce durdurma şansınız yüksektir.
Daha da kötüsü, ayrıcalık yükseltme olaylarını tespit etmek için rutin ve kötü amaçlı etkinlik arasında ayrım yapmak zor olabilir. Bu henüz uzlaşma sistemi ya da uygulama güvenliği kötü niyetli eylemleri gerçekleştirmek meşru erişimi olabilecek rogue kullanıcıları için özellikle doğrudur. Bununla birlikte, başarılı veya teşebbüs edilen ayrıcalık artışını hızlı bir şekilde tespit edebiliyorsanız, davetsiz misafirleri ana saldırılarını başlatmak için bir dayanak oluşturmadan önce durdurma şansınız yüksektir.
Kali lunix ile ayrıcalık yükseltme saldırısı dirty cow
Birçok siber saldırı, genellikle internetten erişilebilen bir web sunucusundan ödün vererek başlar. Saldırganlar daha sonra ana sistemde kök ayrıcalıkları elde etmek için güvenlik açıklarından veya yanlış yapılandırmalardan yararlanabilir. Bu, dosya sistemine ve aynı sistemde çalışan diğer sunucu işlemlerine erişmelerine veya hatta diğer sistemlere karşı saldırılar başlatmak için yerel ağda bir dayanak kazanmalarına izin verebilir. En önemlisi, web sunucusu kullanılan değil sadece hosting web siteleri, uygulamalar, birçok yazıcılar, yönlendiriciler ve İnternet Şeyler (IoT) aygıtlar, yönetim arabirimi için düzenli olarak bir web sunucusu çalıştırır. Tehlikeye girdikten sonra, böyle bir cihaz yerel ağ içinde daha fazla saldırı başlatmak için kullanılabilir.
Günümüzde kullanılan web sunucularının çoğu, birçok gömülü sistem de dahil olmak üzere, Linux'un bazı lezzetlerinde barındırılmaktadır. Linux çekirdeğinin eski sürümleri (4.8.3, 4.7.9 veya 4.4.26'dan önce), saldırganların salt okunur bellek eşlemelerini yazılabilir hale getirmelerine izin veren Dirty COW (Dirty Copy-on-Write) adlı yerel bir ayrıcalık yükseltme saldırısına karşı savunmasızdı. Bu yerel bir saldırı olsa da, hala son derece tehlikelidir, çünkü garantili tek koruma Linux çekirdeğini yükseltmektir – ve bu özellikle gömülü sistemlerde her zaman kolay veya mümkün değildir.
Günümüzde kullanılan web sunucularının çoğu, birçok gömülü sistem de dahil olmak üzere, Linux'un bazı lezzetlerinde barındırılmaktadır. Linux çekirdeğinin eski sürümleri (4.8.3, 4.7.9 veya 4.4.26'dan önce), saldırganların salt okunur bellek eşlemelerini yazılabilir hale getirmelerine izin veren Dirty COW (Dirty Copy-on-Write) adlı yerel bir ayrıcalık yükseltme saldırısına karşı savunmasızdı. Bu yerel bir saldırı olsa da, hala son derece tehlikelidir, çünkü garantili tek koruma Linux çekirdeğini yükseltmektir – ve bu özellikle gömülü sistemlerde her zaman kolay veya mümkün değildir.
Windows Ve Ayrıcalık Yükseltme Saldırısı
Microsoft Windows, erişim belirteçlerini kullanarak çalışan bir işlemin sahipliğini belirler. Erişim belirteci mekanizması, saldırganların erişim belirteçlerini kurcalamasını, Kullanıcı Hesabı Denetimini (UAC) atlamasını ve başka bir kullanıcının işlem haklarını üstlenmesini hedefleyebilir, ancak Windows 10 ve Windows Server 2016'da bu tür değişiklikleri algılamak için bir denetim olayı ayarlayabilirsiniz. Denetim belirteci doğru ayarlanmış olayı etkinleştirdiğinizde, sistem ayrıcalık yükseltme girişimleri sinyal denetim belirteci değişiklikleri için 4703 olayları oluşturur.
Bu denetim olayını etkinleştirmek için Grup İlkesi Yönetimi düzenleyicisini açın ve gelişmiş denetim ilkesi yapılandırması > Denetim İlkeleri >> ayrıntılı izleme>> Denetim belirteci sağa ayarlanmış olayı başarı ve başarısızlıkolarak ayarlayın . Şimdi, bir belirteç hakkı her değiştirildiğinde bir 4703 olayı alacaksınız, bu da sistem işlemlerinden meşru olayların akmasına neden olacak. Potansiyel olarak şüpheli değişikliklerle ilgili yalnızca 4703 olayı arayarak bunu daraltmak için olay izleme yazılımınızı kullanın. Saldırganlar için ortak bir hedef Sedebugprivilege'dir – bir kullanıcıya bir işleme tam hata ayıklama erişimi veren bir sistem ayrıcalığı. Bu, hiç kimse herhangi bir hata ayıklama yapmadığında ayarlanırsa, bir şeylerin olduğundan emin olabilirsiniz.
Bu denetim olayını etkinleştirmek için Grup İlkesi Yönetimi düzenleyicisini açın ve gelişmiş denetim ilkesi yapılandırması > Denetim İlkeleri >> ayrıntılı izleme>> Denetim belirteci sağa ayarlanmış olayı başarı ve başarısızlıkolarak ayarlayın . Şimdi, bir belirteç hakkı her değiştirildiğinde bir 4703 olayı alacaksınız, bu da sistem işlemlerinden meşru olayların akmasına neden olacak. Potansiyel olarak şüpheli değişikliklerle ilgili yalnızca 4703 olayı arayarak bunu daraltmak için olay izleme yazılımınızı kullanın. Saldırganlar için ortak bir hedef Sedebugprivilege'dir – bir kullanıcıya bir işleme tam hata ayıklama erişimi veren bir sistem ayrıcalığı. Bu, hiç kimse herhangi bir hata ayıklama yapmadığında ayarlanırsa, bir şeylerin olduğundan emin olabilirsiniz.
Sistemlerinizi ayrıcalık yükselmesine karşı nasıl koruyabilirsiniz
Saldırganlar, hedeflerine ulaşmak için birçok ayrıcalık yükseltme tekniğini kullanabilirler. Ancak, ilk etapta ayrıcalık yükseltmeyi denemek için, genellikle daha az ayrıcalıklı bir kullanıcı hesabına erişmeleri gerekir. Bu, normal kullanıcı hesaplarının ilk savunma hattınız olduğu anlamına gelir. Güçlü erişim denetimleri sağlamak için bu en iyi uygulama ipuçlarını izleyin:
Tüm kullanıcılar için güvenli şifre politikaları uygulayın: bu, güvenliği artırmanın en basit yoludur (sonuçta, veri ihlallerinin çoğu zayıf veya tehlikeye atılmış kimlik bilgileriyle başlar), ancak pratikte uygulanması en zor olanıdır. Parolaların tahmin ve kaba kuvvet saldırılarına direnecek kadar güçlü olması gerekir, ancak erişim yönetimi seçenekleriniz kullanıcı rahatlığını ve üretkenliğini etkilememelidir.
Gerekli minimum ayrıcalıklara ve dosya erişimine sahip özel kullanıcılar ve gruplar oluşturun: hem normal kullanıcılar hem de yönetici hesapları için tehlikeye atılmış kullanıcı hesaplarının oluşturduğu riski azaltmak için en az ayrıcalık ilkesini uygulayın. Yöneticilere tüm sistem kaynakları için tanrısal yönetici ayrıcalıkları vermek uygun olsa da, tek bir hesap saldırganlara sisteme veya yerel ağa tek bir erişim noktası sağlayabilir.
Kullanıcıları sosyal mühendislik saldırılarını tespit etmeleri için eğitin: insanlar yararlı olmayı severler, bu nedenle artan ayrıcalıklar elde etmek, BT Yardım Masası veya başı dertte olan uzak bir meslektaş olarak ikna edici bir şekilde poz verirken kibarca giriş kimlik bilgilerini istemek kadar basit olabilir. Tüm kullanıcıları sosyal mühendislik girişimlerine ve Kimlik Avı e-postalarına karşı dikkatli olmaları için eğitmek siber güvenlik için hayati öneme sahiptir.
Uygulamalar herhangi bir saldırı için bir giriş noktası sağlayabilir, bu nedenle onları güvende tutmak çok önemlidir:
Uygulamalarınızdaki yaygın programlama hatalarından kaçının: arabellek taşmaları, kod enjeksiyonu ve doğrulanmamış kullanıcı girişi gibi saldırganlar tarafından en sık hedeflenen yaygın programlama hatalarından kaçınmak için güvenli geliştirme uygulamalarını izleyin .
Veritabanlarınızı güvenli hale getirin ve kullanıcı girdilerini sterilize edin: birçok modern web uygulaması ve çerçevesi, yapılandırma ayarları, oturum açma kimlik bilgileri ve kullanıcı verileri de dahil olmak üzere tüm verilerini veritabanlarında sakladığından, Veritabanı Sistemleri özellikle çekici hedefler oluşturur. Sadece bir başarılı saldırı ile, örneğin SQL enjeksiyonuile saldırganlar tüm bu bilgilere erişebilir ve daha fazla saldırı için kullanabilir.
Tüm ayrıcalık yükseltme saldırıları doğrudan kullanıcı hesaplarını hedeflemez-yönetici ayrıcalıkları, uygulama ve işletim sistemi hatalarından ve yapılandırma kusurlarından yararlanarak da elde edilebilir. Dikkatli sistem yönetimi ile saldırı yüzeyinizi en aza indirebilirsiniz:
Güvenlik düzeltme eklerini mümkün olan en kısa sürede dağıtın: çoğu saldırı iyi bilinen güvenlikaçıklarından yararlanır , bu nedenle sistemlerinizi ve uygulamalarınızı yamalı ve güncel tutarak saldırganların seçeneklerini ciddi şekilde sınırlarsınız.
Tüm dosyalar ve dizinler için doğru izinleri sağlayın: kullanıcı hesaplarında olduğu gibi, en az ayrıcalık ilkesini izleyin – bir şeyin yazılabilir veya çalıştırılabilir olması gerekmiyorsa, yöneticiler için biraz daha fazla iş anlamına gelse bile, salt okunur tutun.
Gereksiz bağlantı noktalarını kapatın ve kullanılmayan kullanıcı hesaplarını kaldırın: varsayılan sistem yapılandırmaları genellikle açık bağlantı noktalarında çalışan gereksiz hizmetleri içerir ve her biri potansiyel bir güvenlik açığıdır. Saldırganlara (veya eski çalışanlara) kolay bir başlangıç yapmamak için varsayılan ve kullanılmayan kullanıcı hesaplarını da kaldırmalı veya yeniden adlandırmalısınız.
Tüm dosya aktarım işlevlerini kaldırın veya sıkı bir şekilde kısıtlayın: saldırganlar genellikle istismar komut dosyalarını, web kabuklarınıve diğer kötü amaçlı kodları indirmenin bir yoluna ihtiyaç duyarlar , bu nedenle FTP, TFPT, wget, curl ve diğerleri gibi dosya aktarımlarını sağlayan tüm sistem araçlarına ve yardımcı programlarına yakından bakın. Araçları kaldırmak gerek, ve kalan olanları kapatın, belirli dizinler, kullanıcılar ve uygulamalar için kullanımı kısıtlama yok.
Yönlendiriciler ve yazıcılar da dahil olmak üzere tüm aygıtlarda varsayılan kimlik bilgilerini değiştirme: varsayılan oturum açma kimlik bilgilerini değiştirmek, özellikle yazıcılar, yönlendiriciler ve IoT aygıtları gibi daha az belirgin sistemler için genellikle göz ardı edilen önemli bir adımdır. İşletim sistemlerinizi ve uygulamalarınızı ne kadar iyi koruduğunuz önemli değil, saldırganlara bir dayanak sağlamak için web arayüzü ve varsayılan yönetici şifresi olan tek bir yönlendirici yeterlidir.
Tüm kullanıcılar için güvenli şifre politikaları uygulayın: bu, güvenliği artırmanın en basit yoludur (sonuçta, veri ihlallerinin çoğu zayıf veya tehlikeye atılmış kimlik bilgileriyle başlar), ancak pratikte uygulanması en zor olanıdır. Parolaların tahmin ve kaba kuvvet saldırılarına direnecek kadar güçlü olması gerekir, ancak erişim yönetimi seçenekleriniz kullanıcı rahatlığını ve üretkenliğini etkilememelidir.
Gerekli minimum ayrıcalıklara ve dosya erişimine sahip özel kullanıcılar ve gruplar oluşturun: hem normal kullanıcılar hem de yönetici hesapları için tehlikeye atılmış kullanıcı hesaplarının oluşturduğu riski azaltmak için en az ayrıcalık ilkesini uygulayın. Yöneticilere tüm sistem kaynakları için tanrısal yönetici ayrıcalıkları vermek uygun olsa da, tek bir hesap saldırganlara sisteme veya yerel ağa tek bir erişim noktası sağlayabilir.
Kullanıcıları sosyal mühendislik saldırılarını tespit etmeleri için eğitin: insanlar yararlı olmayı severler, bu nedenle artan ayrıcalıklar elde etmek, BT Yardım Masası veya başı dertte olan uzak bir meslektaş olarak ikna edici bir şekilde poz verirken kibarca giriş kimlik bilgilerini istemek kadar basit olabilir. Tüm kullanıcıları sosyal mühendislik girişimlerine ve Kimlik Avı e-postalarına karşı dikkatli olmaları için eğitmek siber güvenlik için hayati öneme sahiptir.
Uygulamalar herhangi bir saldırı için bir giriş noktası sağlayabilir, bu nedenle onları güvende tutmak çok önemlidir:
Uygulamalarınızdaki yaygın programlama hatalarından kaçının: arabellek taşmaları, kod enjeksiyonu ve doğrulanmamış kullanıcı girişi gibi saldırganlar tarafından en sık hedeflenen yaygın programlama hatalarından kaçınmak için güvenli geliştirme uygulamalarını izleyin .
Veritabanlarınızı güvenli hale getirin ve kullanıcı girdilerini sterilize edin: birçok modern web uygulaması ve çerçevesi, yapılandırma ayarları, oturum açma kimlik bilgileri ve kullanıcı verileri de dahil olmak üzere tüm verilerini veritabanlarında sakladığından, Veritabanı Sistemleri özellikle çekici hedefler oluşturur. Sadece bir başarılı saldırı ile, örneğin SQL enjeksiyonuile saldırganlar tüm bu bilgilere erişebilir ve daha fazla saldırı için kullanabilir.
Tüm ayrıcalık yükseltme saldırıları doğrudan kullanıcı hesaplarını hedeflemez-yönetici ayrıcalıkları, uygulama ve işletim sistemi hatalarından ve yapılandırma kusurlarından yararlanarak da elde edilebilir. Dikkatli sistem yönetimi ile saldırı yüzeyinizi en aza indirebilirsiniz:
Güvenlik düzeltme eklerini mümkün olan en kısa sürede dağıtın: çoğu saldırı iyi bilinen güvenlikaçıklarından yararlanır , bu nedenle sistemlerinizi ve uygulamalarınızı yamalı ve güncel tutarak saldırganların seçeneklerini ciddi şekilde sınırlarsınız.
Tüm dosyalar ve dizinler için doğru izinleri sağlayın: kullanıcı hesaplarında olduğu gibi, en az ayrıcalık ilkesini izleyin – bir şeyin yazılabilir veya çalıştırılabilir olması gerekmiyorsa, yöneticiler için biraz daha fazla iş anlamına gelse bile, salt okunur tutun.
Gereksiz bağlantı noktalarını kapatın ve kullanılmayan kullanıcı hesaplarını kaldırın: varsayılan sistem yapılandırmaları genellikle açık bağlantı noktalarında çalışan gereksiz hizmetleri içerir ve her biri potansiyel bir güvenlik açığıdır. Saldırganlara (veya eski çalışanlara) kolay bir başlangıç yapmamak için varsayılan ve kullanılmayan kullanıcı hesaplarını da kaldırmalı veya yeniden adlandırmalısınız.
Tüm dosya aktarım işlevlerini kaldırın veya sıkı bir şekilde kısıtlayın: saldırganlar genellikle istismar komut dosyalarını, web kabuklarınıve diğer kötü amaçlı kodları indirmenin bir yoluna ihtiyaç duyarlar , bu nedenle FTP, TFPT, wget, curl ve diğerleri gibi dosya aktarımlarını sağlayan tüm sistem araçlarına ve yardımcı programlarına yakından bakın. Araçları kaldırmak gerek, ve kalan olanları kapatın, belirli dizinler, kullanıcılar ve uygulamalar için kullanımı kısıtlama yok.
Yönlendiriciler ve yazıcılar da dahil olmak üzere tüm aygıtlarda varsayılan kimlik bilgilerini değiştirme: varsayılan oturum açma kimlik bilgilerini değiştirmek, özellikle yazıcılar, yönlendiriciler ve IoT aygıtları gibi daha az belirgin sistemler için genellikle göz ardı edilen önemli bir adımdır. İşletim sistemlerinizi ve uygulamalarınızı ne kadar iyi koruduğunuz önemli değil, saldırganlara bir dayanak sağlamak için web arayüzü ve varsayılan yönetici şifresi olan tek bir yönlendirici yeterlidir.
Güvenlik açıkları için web uygulamalarınızı kontrol edin
Web siteleri ve web uygulamaları küresel bir saldırı yüzeyini açığa çıkarır ve genellikle saldırganlar için İlk Çağrı limanıdır. Sitelerinizi, uygulamalarınızı, web servislerinizi ve web Apı'lerinizi güvenlik açıkları açısından kontrol etmek için yüksek kaliteli bir güvenlik açığı tarayıcısı kullanın. Invicti tarafından Netsparker gibi Modern dast çözümleri doğru ve çok yönlüdür ve saldırganların bir adım önünde kalmak için sürekli gelişim aşamasındadır. Uygulamanız geçen ay veya hatta geçen hafta güvenli olsa bile, her gün yeni güvenlik açığı raporları ve istismarları yayınlanır – ve bu kelimeleri okurken bile sistemleriniz ve bilgileriniz tehlikede olabilir.
