Privilege Escalation (Rechteausweitung) ist ein häufiger Bedrohungsvektor, mit dem sich Cyberangreifer unbefugten Zugriff auf die Systeme und Ressourcen eines Unternehmens verschaffen. Bei diesem komplexen Netzwerkangriff erlangen Angreifer unerlaubten Zugriff auf eine Zielumgebung und verschaffen sich dann höhere Privilegien, um ihren Zugriff aufrechtzuerhalten und zu vertiefen. Damit können sie dann schwerwiegendere Angriffe wie der Diebstahl vertraulicher Daten, das Einsehen privater Informationen oder die Installation bösartiger Programme wie Viren durchführen.

Definition

Privilege Escalation oder Rechteausweitung bezeichnet eine Angriffsmethode, bei der Bedrohungsakteure in ein Systeme eindringen und dann ihre Rechte ausweiten, um größeren Schaden anrichten zu können. Der erste Zugriff auf ein System erfolgt durch das Ausnutzen von Sicherheitslücken. Sind sie dann erst einmal im System, erhöhen sie im zweiten Schritt die Rechte ihres Accounts, sodass sie erweiterte Handlungen ausführen können.

Dem Ganzen liegt zugrunde, dass Computersysteme über unterschiedliche Berechtigungsstufen verfügen. Standardnutzern haben nur eingeschränkte Berechtigungen, während Administratoren die vollständiger Kontrolle über das System besitzen. Eine erfolgreiche Rechteausweitung bedeutet, dass es einem Angreifer gelungen ist, seine eigene Privilegienebene zu erhöhen und dadurch mehr Kontrolle zu erlangen.

Cyberangreifer können sich durch die Ausweitung ihrer Rechte auch neue Angriffsvektoren auf einem Zielsystem erschließen und so das Bedrohungsniveau steigern. Einfache Malware-Infektionen werden so zu katastrophalen Datenverletzungen und Netzwerkkompromittierungen.

Cybersicherheits-schulungen beginnen hier

Jetzt kostenlosen Test starten

So können Sie Ihre kostenlose Testversion nutzen:

  • Vereinbaren Sie einen Termin mit unseren Cybersicherheitsexperten, bei dem wir Ihre Umgebung bewerten und Ihre Sicherheitsrisiken identifizieren.
  • Wir implementieren unsere Lösung innerhalb von lediglich 24 Stunden und mit minimalem Konfigurationsaufwand. Anschließend können Sie unsere Lösungen für 30 Tage testen.
  • Lernen Sie unsere Technologie in Aktion kennen! Sie erhalten einen Bericht zu Ihren Sicherheitsschwachstellen, sodass
  • Sie sofort Maßnahmen gegen Cybersicherheitsrisiken ergreifen können.

Füllen Sie dieses Formular aus, um einen Termin mit unseren Cybersicherheitsexperten zu vereinbaren.

Vielen Dank

Wir werden Sie zeitnah zur Abstimmung der nächsten Schritte kontaktieren.

Primäre Arten von Privilege-Escalation-Angriffen

Es gibt zwei Haupttypen von Privilege Escalation, die Bedrohungsakteure einsetzen: vertikale und horizontale. Gemeinsam haben beide Arten, dass Angreifer versuchen, sich unbefugten Zugriff auf Ressourcen zu verschaffen oder böswillige Handlungen auszuführen. Die Art und Weise, wie der Angriff ausgeführt wird, verfolgt jedoch unterschiedliche Ansätze.

Vertikale Rechteausweitung

Die vertikale Rechteausweitung ist auch unter dem Begriff „Privilege Elevation“ (Privilegienerhöhung) bekannt. Dabei greift ein Angreifer auf ein Standardnutzerkonto zu und macht sich dann zu einem Superuser oder Administrator, um mit diesen erweiterten Rechten uneingeschränkte Kontrolle über das gesamte System zu erlangen. Denn auf einer Privilegienstufe kann er Konfigurationen ändern, Software installieren, neue Nutzerkonten mit erweiterten Berechtigungen erstellen oder sogar wichtige Daten löschen.

Horizontale Rechteausweitung

Horizontale Rechteausweitung bedeutet, dass ein Angreifer auf einen anderen Account mit derselben Berechtigungsstufe zugreift. Das Ziel besteht hier nicht unbedingt darin, Root-Rechte zu erlangen, sondern an vertrauliche Informationen anderer Nutzer innerhalb der eigenen Berechtigungsstufe zu kommen. Wenn beispielsweise ein Angreifer die Anmeldedaten eines Mitarbeiters durch Anmeldedatendiebstahl oder Phishing erlangt und ausnutzt, handelt es sich um eine horizontale Rechteausweitung.

Der Hauptunterschied zwischen diesen beiden Angriffsformen liegt darin, welche Art von Zugriff der Angreifer anstrebt: Beim vertikalen Angriff werden Schwachstellen ausgenutzt, um erhöhte Berechtigungen zu erhalten, während beim horizontalen Angriff schwache Sicherheitspraktiken zwischen Peers mit ähnlichen Berechtigungsstufen ausgenutzt werden.

Beide Arten zu erkennen, erfordert Wachsamkeit und robuste Cybersicherheitsmaßnahmen, einschließlich Sicherheitsüberwachungssystemen für ungewöhnliche Aktivitäten und der Implementierung robuster Authentifizierungsmethoden. Organisationen müssen sich der Mechanismen hinter diesen Angriffen und ihrer Durchführung bewusst sein, um sicherzustellen, dass sie angemessen vor potenziellen Bedrohungen geschützt sind.

Wie funktioniert Privilege Escalation?

Für einen erfolgreichen Privilege-Escalation-Angriff müssen Angreifer zunächst in ein System eindringen. Dazu finden sie Schwachstellen in der Cybersicherheit einer Organisation. Sobald die anfängliche Infiltration erfolgreich ist, nutzen Bedrohungsakteure spezifische Strategien, die entweder auf vertikalen oder horizontalen Techniken basieren:

  • Vertikal: Dabei nutzen Angreifer Schwachstellen im System oder in Softwareanwendungen aus, um ihre Berechtigungen von der Ebene eines Standardnutzerkontos auf privilegierte Nutzerebenen zu erweitern, wie sie beispielsweise Systemadministratoren besitzen. Bei Angriffen mit vertikaler Rechteausweitung verwenden Bedrohungsakteure manchmal auch Social-Engineering-Techniken wie Phishing-E-Mails, um Nutzer dazu zu verleiten, versehentlich Zugriff zu gewähren oder vertrauliche Informationen preiszugeben, die zum Diebstahl von Anmeldedaten beitragen.
  • Horizontal: Im Gegensatz zur vertikalen Rechteausweitung, bei der Berechtigungen erhöht werden, um Root- oder Administratorrechte zu erhalten, konzentriert sich die horizontale Rechteausweitung auf die laterale Bewegung über Konten auf Peer-Ebene hinweg. Cyberkriminelle nutzen bei diesen Angriffen häufig Taktiken wie Zugangsdatendiebstahl und Session-Hijacking. Sie können sogar eine schädliche Nutzlast in Softwareanwendungen einschleusen, die Nutzer mit ähnlichen Berechtigungsstufen häufig verwenden.

Unabhängig davon, ob sie vertikal oder horizontal erfolgt, nutzt Privilege Escalation häufig Fehlkonfigurationen in Netzwerken und Systemen aus. Dazu gehört das Ausnutzen von Schwachstellen wie eine fehlende Authentifizierung für sensible Systeme, administrative Fehler bei der Firewall-Konfiguration oder spezifische Designfehler und Versäumnisse in Betriebssystemen oder Webanwendungen.

Privilege-Escalation-Angriffe können lokal oder remote durchgeführt werden. Angriffe zur lokalen Rechteausweitung beginnen häufig vor Ort, typischerweise durch jemanden innerhalb der Organisation. Remote-Privilege-Escalation kann fast überall beginnen und ist ein zunehmendes Problem.

Wie lassen sich Privilege-Escalation-Angriffe verhindern?

Im Bereich der Cybersicherheit ist eine wirksame Prävention immer besser als jeder Notfallwiederherstellungsplan. Hier sind einige der grundlegendsten Maßnahmen zur Verhinderung von Privilege-Escalation-Angriffen:

  • Regelmäßige System-Patches: Patch-Management-Strategien, die Systeme auf dem neuesten Stand halten, können die Wahrscheinlichkeit verringern, dass Angreifer bekannte Sicherheitslücken in Softwareprogrammen oder Betriebssystemen ausnutzen.
  • Starke Authentifizierungsmethoden: Implementieren Sie Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA), um den Diebstahl von Anmeldedaten zu verhindern und es böswilligen Akteuren zu erschweren, sich unbefugten Zugriff zu verschaffen.
  • Überwachung der Nutzeraktivität: Überwachen Sie alle Nutzeraktivitäten, um verdächtiges Verhalten zu erkennen, das auf die Kompromittierung eines privilegierten Kontos hindeuten könnte. Um eine Rechteausweitung zu erkennen, muss auf plötzliche Änderungen im Nutzerverhalten oder ungewöhnliche Aktivitäten des Systemadministrators geachtet werden.
  • Setzen Sie Passwort-Sicherheitsrichtlinien um: Besonders in großen Organisationen ist die Implementierung starker Passwort-Richtlinien von entscheidender Bedeutung. Sie sollten von Nutzern verlangen, sichere, komplexe Passwörter zu erstellen, die regelmäßig aktualisiert werden.
  • Das Prinzip der geringsten Rechte: Halten Sie sich an das Prinzip der geringsten Rechte, indem Sie die Berechtigungen der Nutzer auf das beschränken, was für ihre Rolle erforderlich ist. Dies reduziert den Schaden, den ein Angreifer anrichten kann, wenn er ein Nutzerkonto kompromittiert hat.
  • Sudo-Zugriffskontrolle: In Linux-Umgebungen kann eine Einschränkung des Sudo-Zugriffs dazu beitragen, die Eskalation von Linux-Berechtigungen zu verhindern. Die ordnungsgemäße Verwaltung von Sudo-Rechten, einschließlich der regelmäßigen Überprüfung, wer über sie verfügt und welche Befehle diejenigen mit erhöhten Berechtigungen ausführen dürfen, trägt dazu bei, diese Bedrohung in Schach zu halten.

Durch eine strategische Kombination fundierter Cybersicherheitspraktiken und -tools können Angriffe mit Rechteausweitung besser verhindert werden. Unternehmen sollten sicherstellen, dass ihre implementierten Sicherheitsmaßnahmen robust sind und regelmäßig aktualisiert werden, um diese Art von Cyberangriffen zu verhindern.

Wie lassen sich Privilege-Escalation-Angriffe erkennen?

Um unbefugten Zugriff zu verhindern und die Systemsicherheit aufrechtzuerhalten, braucht es effektive Erkennungsfunktionen. Es gibt verschiedene Möglichkeiten, wie Unternehmen Angriffe zur Rechteausweitung erkennen können, darunter:

  • Prüfung aller Systemprotokolle: Überprüfen Sie alle Systemprotokolle regelmäßig, um ungewöhnliche Muster oder verdächtige Aktivitäten zu erkennen. Dazu gehören z. B. wiederholte fehlgeschlagene Anmeldeversuche oder ungewöhnliche Befehle.
  • Tools zum Erkennen von Anomalien: Identifizieren Sie Abweichungen vom normalen Verhalten in Ihrem Netzwerk mithilfe von Tools zum Erkennen von Anomalien. Plötzliche Änderungen in den Nutzerrollen könnten beispielsweise auf einen laufenden Vorfall einer Eskalation von Berechtigungen hinweisen.
  • User & Entity Behavior Analytics (UEBA): Machine-Learning-Algorithmen in UEBA können typische Verhaltensmuster von Nutzern verstehen und warnen, wenn sie Abweichungen von dieser Norm erkennen. Dadurch ist es möglich, laufende Privilege-Escalation-Angriffe zu identifizieren.
  • Passwort-Monitoring: Implementieren Sie ein Passwort-Monitoring, das Sie warnt, wenn Passwörter ohne Autorisierung geändert werden. Denn eine solche Änderung deutet möglicherweise darauf hin, dass ein Angreifer versucht, seine erweiterten Berechtigungen im Laufe der Zeit aufrechtzuerhalten.
  • Intrusion-Detection-Systeme (IDS): Scannen Sie Ihr Netzwerk mithilfe von Intrusion-Detection-Systemen nach bekannten Signaturen gängiger Rechteausweitungstechniken wie Buffer-Overflow-Exploits oder SQL-Injection-Angriffen, um Vorfälle frühzeitig zu erkennen, bevor erheblicher Schaden entsteht.

Denken Sie daran, dass keine einzelne Methode jeden möglichen Angriffsvektor abfangen kann. Unternehmen müssen verschiedene Strategien miteinander kombinieren und sowohl robuste Abwehrmaßnahmen als auch proaktive Erkennungsmaßnahmen einsetzen, um solche Bedrohungen einzudämmen.

Häufige Beispiele für Privilege-Escalation-Angriffsvektoren

In der Cybersicherheit ist Privilege Escalation eine Technik, bei der ein Angreifer ein System kompromittiert, um sich unbefugten Zugriff zu verschaffen und seine Privilegien zu erweitern. Dies kann über verschiedene Angriffsvektoren erfolgen, wie z. B. die Ausnutzung von gestohlenen Anmeldeinformationen, Schwachstellen und Exploits, Fehlkonfigurationen, Malware oder Social Engineering.

Malware

Angreifer versuchen häufig mithilfe von Malware-Payloads ihre Rechte auf einem Zielsystem zu erweitern. Diese Art von Angriff beginnt in der Regel damit, dass Angreifer einfachen Zugriff erlangen und dann Malware installieren, die ihnen im System eine höhere Berechtigungsstufe verschafft.

Ausnutzung von Anmeldeinformationen

Ein Angreifer versucht oft, seine Rechte auszuweiten, indem er schwache Nutzerkonten ausnutzt oder Anmeldedaten stiehlt. Sobald Angreifer Zugriff auf diese Anmeldeinformationen erhalten haben, können sie unter dem Deckmantel eines privilegierten Nutzers böswillige Handlungen ausführen.

Schwachstellen und Exploits

Eine gängige Methode bei der Rechteausweitung unter Linux und Windows ist die Ausnutzung von Software-Schwachstellen. Wenn sich eine Anwendung beispielsweise nicht an das Prinzip der geringsten Rechte hält, kann es zu einer vertikalen Rechteausweitung kommen, bei der ein Angreifer Root- oder Administratorrechte erlangt.

Fehlkonfigurationen

Manchmal schaffen Systemadministratoren aufgrund von Konfigurationsfehlern versehentlich Möglichkeiten für eine horizontale Rechteausweitung. Häufig passiert dies, indem sudo-Zugriff unnötig gewährt wird oder privilegierte Kontoinformationen nicht ordnungsgemäß gesichert werden.

Social Engineering

Diese Methode beruht eher auf menschlicher Interaktion als auf technischen Mängeln. Ein typisches Social-Engineering-Szenario könnte darin bestehen, Mitarbeiter dazu zu verleiten, ihre Anmeldedaten preiszugeben. Dies ermöglicht Angreifern einfachen Zugang zu sicheren Netzwerken, von denen aus sie ihre Berechtigungsstufen erhöhen können. Das Erkennen von solchen Angriffen erfordert eine auf den Menschen ausgerichtete Wachsamkeit; die aktuell verfügbaren Tools sind jedoch nicht unbedingt darauf ausgelegt.

Privilege-Escalation-Angriffe auf verschiedenen Betriebssystemen

Je nach Betriebssystem kommen unterschiedliche Angriffsmethoden zum Einsatz, insbesondere bei Linux und Windows. Hier sind einige der häufigsten betriebssystemspezifischen Beispiele für Rechteausweitung:

Privilege Escalation unter Linux

Der Open-Source-Charakter von Linux macht es anfällig für bestimmte Arten von Privilege-Escalation-Angriffen, darunter:

  • Kernel-Exploits: Häufig nutzen Angreifer Schwachstellen im Linux-Kernel aus, um Root-Rechte zu erlangen. Dadurch können sie bösartige Payloads ausführen, die es ihnen ermöglichen, böswillige Handlungen mit erweiterten Berechtigungen auszuführen.
  • Enumeration: Bedrohungsakteure sammeln dabei Informationen über das System, beispielsweise über die vorhandenen Nutzerkonten oder Netzwerkressourcen, die sie für weitere Angriffe gebrauchen könnten.
  • Ausnutzung von Sudo-Rechten: Angreifer versuchen oft, ihre Rechte auszuweiten, indem sie schlecht konfigurierte Sudo-Rechte ausnutzen. Wenn ein privilegierter Nutzer nachlässig mit seinen Sudo-Zugriffsberechtigungen umgegangen ist, kann ein Angreifer dieses Versehen möglicherweise für seine eigenen Zwecke ausnutzen.

 

Privilege Escalation unter Windows

Windows, ein weiteres weit verbreitetes Betriebssystem, hat vor allem deshalb viel mit Privilegieneskalation zu tun, weil der Geschäftsbetrieb vieler Unternehmen stark auf Windows angewiesen ist. Hier sind einige häufig verwendete Methoden für Windows:

  • Zugriffstoken-Manipulation: Bei dieser Technik werden mit privilegierten Konten verknüpfte Token manipuliert, um das System dazu zu verleiten, Zugriff auf einer höheren Ebene als beabsichtigt zu gewähren.
  • Das Umgehen der User-Account-Control (UAC): Ein Angreifer kann versuchen, UAC-Warnungen, die unbefugte Änderungen verhindern sollen, zu umgehen, indem er heimliche Prozesse verwendet, die diese Warnungen nicht auslösen.
  • Sticky Keys: Dieser Angriff ersetzt sethc(.exe) (die für Sticky Keys verantwortliche Anwendung) durch cmd(.exe) (Eingabeaufforderung), sodass jeder, der auf dem Anmeldebildschirm fünfmal die UMSCHALTTASTE drückt, Administratorrechte erhält, ohne Anmeldeinformationen zu benötigen.

 

Wenn man bedenkt, wie subtil Angreifer bei derartigen Angriffen vorgehen, wird schnell klar, dass ausgefeilte Sicherheitsmaßnahmen erforderlich sind, um Angriffe mit Rechteausweitung zu erkennen. Während die oben genannten Präventions- und Erkennungslösungen eine geeignete Grundlage bieten, benötigen Unternehmen oft zusätzliche Unterstützung, um ihre Systeme vollständig zu schützen.

Wie Proofpoint Sie unterstützen kann

Wenn es darum geht, die vielen verschiedenen Privilege-Escalation-Angriffe abzuwehren, ist ein robustes System zur Abwehr von Identitätsbedrohungen von entscheidender Bedeutung. Die Identity Threat Detection and Response Solution von Proofpoint bietet eine effektive Strategie zur Erkennung und Reaktion auf solche Bedrohungen.

Dieses umfassende Tool hilft bei der Erkennung von Privilege Escalation, indem es Nutzerkonten auf verdächtige Aktivitäten oder Änderungen in Verhaltensmustern überwacht. Dabei verwendet es fortschrittliche Analysen, um potenzielle Risiken wie den Versuch einer Rechteausweitung zu identifizieren.

Die Plattform ist mit hochentwickelten Mechanismen ausgestattet, die vertikale und horizontale Rechteausweitung erkennen. Ganz gleich, ob es sich um einen Angreifer handelt, der versucht, Root-Rechte zu erlangen, oder um einen privilegierten Nutzer, der versucht, unbefugt auf die Daten anderer Nutzer zuzugreifen – Proofpoint sorgt dafür, dass diese Bedrohungen sofort erkannt werden.

  • Erkennen von Privilege Escalation: Das Tool erkennt effektiv jede ungewöhnliche Aktivität, wie z. B. den Zugriff über die eigene Berechtigungsstufe hinaus, plötzliche Änderungen der Systemadministratorrechte, Missbrauch des Sudo-Zugriffs usw. und weist auf mögliche Versuche der Privilege Elevation hin.
  • Incident Response: Wenn Proofpoint einen potenziellen Vorfall erkennt, bei dem ein Angreifer die Sicherheit gefährdet, indem er erweiterte Berechtigungen ausnutzt, löst das Tool sofort eine Warnung aus und ermöglicht so eine schnelle Reaktion Ihres IT-Teams.
  • Risikominimierung: Durch die strikte Durchsetzung des Prinzips der geringsten Rechte auf allen Systemen (einschließlich Linux und Windows) werden die Möglichkeiten für Angreifer minimiert, eine Rechteausweitung durch Anmeldedatendiebstahl oder die Bereitstellung bösartiger Payloads in Ihrer Netzwerkinfrastruktur zu versuchen.

Neben diesem proaktiven Ansatz zur Verhinderung von Angriffen unterstützt Proofpoint Unternehmen bei der Schaffung sicherer Umgebungen, indem es sie über häufige Techniken böswilliger Akteure aufklärt. Dieses Wissen versetzt Unternehmen nicht nur in die Lage, auf Vorfälle zu reagieren, sondern ermöglicht ihnen auch proaktiv, den Cyberkriminellen einen Schritt voraus zu sein. Schließlich entwickeln Angreifer ihre Taktiken ständig weiter. Kontaktieren Sie uns noch heute, um mehr zu erfahren!

Möchten Sie Proofpoint ausprobieren?

Starten Sie Ihre kostenlose Proofpoint Testphase.