¿Qué es la escalada de privilegios?

La escalada de privilegios es un vector de amenaza muy utilizado por ciberatacantes para obtener acceso no autorizado a los sistemas y recursos de una organización. Es un complejo ataque de red que permite a los atacantes obtener acceso ilícito a un entorno objetivo, persistir y profundizar su acceso con mayores privilegios y llevar a cabo actividades más severas, como vulnerar datos confidenciales, ver información privada o instalar programas malintencionados como virus.

La escalada de privilegios es cuando un actor de amenaza obtiene acceso y derechos administrativos elevados a un sistema explotando las vulnerabilidades de seguridad. Al modificar los permisos de identidad para otorgarles más derechos y prestaciones administrativas, la escalada de privilegios permite a los atacantes llevar a cabo actividades malintencionadas con niveles de privilegios más altos, produciendo potencialmente daños significativos.

Los sistemas informáticos tienen diversos niveles de privilegios, que van desde usuarios estandarizados con permisos limitados hasta administradores con control total sobre el sistema. Una incidencia exitosa de escalada de privilegios implica que el atacante logra escalar su propio nivel de privilegio, ganando por tanto, un mayor nivel de control.

A su vez, los ciberatacantes pueden usar el escalamiento de privilegios para abrir nuevos vectores de ataque en un sistema objetivo, haciendo aumentar el nivel de amenaza, desde simples infecciones de malware a catastróficas vulneraciones de datos e intrusiones de red.

Existen dos tipos principales de ataques de escalada de privilegios que los agentes de amenaza usan: verticales y horizontales. Si bien ambos tipos implican que los atacantes intenten obtener acceso no autorizado a recursos o ejecutar acciones malintencionadas, el método de ejecución del ataque puede implicar diversos enfoques.

Escalada de privilegios vertical

Un atacante puede usar la escalada de privilegios vertical para obtener acceso de una cuenta de usuario estandarizada a privilegios de alto nivel, como un superusuario o administrador, otorgándoles por tanto un nivel de control irrestricto sobre el sistema entero. Con frecuencia, esto les da un control total sobre el sistema, permitiéndoles modificar configuraciones, instalar software, crear nuevas cuentas de usuarios con privilegios escalados y hasta borrar datos clave.

Escalada de privilegios horizontal

La escalada de privilegios horizontal ocurre cuando un atacante obtiene acceso al mismo nivel de permiso, pero con diferentes identidades de usuario. Por ejemplo, un atacante que use las credenciales de un empleado mediante el robo de credenciales o intentos de phishing es un tipo de escalada de privilegios horizontal. Aquí el objetivo no es necesariamente obtener privilegios de raíz, sino acceder a información delicada que pertenezca a otros usuarios dentro de su propio nivel de privilegios.

La diferencia clave entre estos dos tipos de ataques radica en el tipo de acceso que el atacante busca: el nivel vertical implica el aprovechar las vulnerabilidades para lograr niveles elevados de permisos, mientras que el horizontal se aprovecha de las prácticas débiles de seguridad entre pares a niveles similares de permisos.

La detección de ambos tipos precisa de sólidas medidas de ciberseguridad y vigilancia, incluyendo monitoreos de seguridad en los sistemas en busca de actividad inusual e implementación de robustos métodos de autenticación. Las organizaciones deben estar conscientes de los mecanismos que hay detrás de estos ataques y cómo se ejecutan para asegurarse de estar correctamente protegidas de potenciales amenazas.

Los atacantes pueden obtener penetración inicial en un sistema encontrando puntos débiles en el marco de trabajo de ciberseguridad de una organización. Una vez que la infiltración inicial se realiza correctamente, los agentes de amenaza aprovechan estrategias específicas que se basan en técnicas verticales u horizontales:

• Verticales: Los atacantes explotan las vulnerabilidades dentro del sistema o aplicaciones de software para escalar sus privilegios desde un nivel de usuario estándar de cuentas hasta los niveles de usuarios privilegiados, como los de los administradores de sistemas. En los ataques verticales, los agentes de amenaza también pueden usar técnicas de ingeniería social, como correos electrónicos de phishing para engañar a los usuarios y convencerlos de que otorguen acceso sin querer o que revelen información delicada que ayude a robar credenciales.
• Horizontal: A diferencia del escalamiento vertical, que implica la elevación de permisos para obtener privilegios de administrador o de raíz, la escalada horizontal se enfoca en el movimiento lateral entre cuentas de del mismo nivel. Los cibercriminales suelen usar tácticas como el robo de credenciales y el secuestro de sesiones durante estos ataques. Podrían incluso inyectar una carga útil malintencionada en aplicaciones de software usadas frecuentemente por usuarios con niveles de permisos similares.

Tanto si se realiza de manera vertical u horizontal, la escalada de privilegios comúnmente funciona explotando malas configuraciones en redes y sistemas. Esto incluye aprovechar vulnerabilidades como no configurar autenticación para sistemas delicados, errores administrativos en la configuración de firewall o fallos de diseño específicos o descuidos en sistemas operativos o aplicaciones web.

Los ataques de escalamiento de privilegios también se pueden ejecutar de manera local o remota. Los ataques locales suelen comenzar in situ, típicamente por parte de una persona de la organización. La escalada remota, que está en aumento, puede comenzar desde casi cualquier parte.

En ciberseguridad, una prevención efectiva de ciberataques siempre es mejor que tener un buen plan de recuperación ante catástrofes. Aquí indicamos algunas de las medidas más fundamentales usadas para evitar los ataques de escalada de privilegios.

• Parchado continuo de los sistemas: También caracterizado por las estrategias de gestión de parchado, mantener al día los sistemas con los parches más comunes puede ayudar a disminuir la probabilidad de que los atacantes utilicen fallas de seguridad conocidas en programas de software o sistemas operativos.
• Métodos fuertes de autenticación: Implementación de la autenticación de dos factores (2FA) o la de múltiples factores (MFA) para desalentar el robo de credenciales y complicarles a los agentes malintencionados la obtención de acceso no autorizado.
• Monitorización de actividad de usuario: Monitorización de la actividad para detectar comportamientos sospechosos que podrían indicar que una cuenta privilegiada ha quedado comprometida. La detección de escalada de privilegios suele implicar el detectar cambios súbitos en los patrones de comportamiento o actividades inusuales del administrador del sistema.
• Emplear políticas de seguridad de contraseñas: Especialmente útiles en organizaciones de gran tamaño, es fundamental la implementación de políticas de gestión de cuentas privilegiadas y contraseñas seguras que requieren que los usuarios creen contraseñas seguras y complejas que se actualicen frecuentemente.
• Principio del mínimo privilegio: Adherirse al principio del mínimo privilegio, limitando los permisos de los usuarios a solamente lo necesario para sus respectivos roles. Esto reduce el potencial daño si un atacante compromete una cuenta de usuario.
• Control de acceso a “sudo”: En entornos Linux, controlar el acceso “sudo” puede ayudar a evitar incidencias de escalada de privilegios en Linux. Unos derechos de “sudo” adecuados, incluyendo ver regularmente quién los posee y qué comandos pueden ejecutar con permisos elevados, ayuda a mantener las amenazas bajo control.

Privilege escalation attacks can be better prevented using a strategic combination of sound cybersecurity practices and tools. Organizations should ensure that their implemented security measures are robust and regularly updated to prevent these types of cyberattacks.

Evitar el acceso no autorizado y proteger la seguridad del sistema depende de contar con capacidades de detección adecuadas. Existen diversas maneras en que las organizaciones pueden detectar estos ataques, incluyendo:

• Registros de sistemas de auditoría: Consiste en revisar regularmente los registros del sistema para identificar patrones inusuales o actividad sospechosa, como repetidos intentos fallidos de inicio de sesión o uso anormal de comandos.
• Herramientas para detección de anomalías: Identificar desviaciones del comportamiento normal dentro de la red usando herramientas de detección de anomalías. De hecho, los cambios súbitos en los roles de usuarios podrían indicar una incidencia de escalada de privilegios en curso.
• Análisis de comportamiento de entidades y usuarios (UEBA): Mediante el uso de algoritmos de aprendizaje automático para comprender los patrones de uso típicos y alertar cuando haya una desviación de la norma, el UEBA puede identificar un potencial intento de escalamiento de privilegios.
• Monitorización de contraseñas: Implementar la monitorización de contraseñas para alertarle de cuando se cambien las contraseñas sin autorización, indicando potencialmente que un atacante está intentando mantener sus privilegios escalados en el tiempo.
• Sistema de detección de intrusiones (IDS): Escanear en busca de técnicas comunes de escalada de privilegios, como “exploits” de “overflow” de buffer o ataques de inyección de SQL usando sistemas de detección de intrusiones para detectar las incidencias de manera temprana, antes de que se produzcan daños significativos.

Hay que recordar que no todos los métodos son capaces de detectar a todos los posibles vectores de ataque. Las organizaciones deben implementar sólidas defensas y medidas de detección proactiva que aprovechen una combinación de estrategias para mitigar estas amenazas.

En ciberseguridad, la escalada de privilegios es una técnica en la cual un atacante compromete a un sistema para obtener acceso no autorizado y escalada de privilegios. Esta actividad malintencionada puede ocurrir mediante diversos vectores de ataque, como abuso de credenciales, vulnerabilidades y exploits, errores de configuración, malware o ingeniería social.

Malware

Los atacantes suelen usar cargas útiles de programas maliciosos para intentar elevar privilegios en sistemas objetivo. Este tipo de ataques típicamente comienza por obtener un nivel de acceso básico antes de implementar la carga útil malintencionada que escala su autoridad dentro del sistema.

Explotación de credenciales

Con frecuencia, un atacante intentará hacer un escalamiento aprovechando cuentas de usuarios con credenciales débiles o robando credenciales. Una vez obtenido el acceso a estas credenciales, puede ejecutar acciones malintencionadas bajo la imagen de ser un usuario privilegiado.

Vulnerabilidades y exploits

Un método común usado tanto en sistemas Linux como Windows implica el aprovechamiento (explotación) de vulnerabilidades del software. De hecho, si una aplicación no se adhiere al principio del mínimo privilegio, podría permitir una escalada de privilegios vertical, en la que un atacante obtiene privilegios de raíz o de administrador.

Errores de configuración

A veces los administradores de sistemas crean, sin darse cuenta, oportunidades para la escalada de privilegios horizontal debido a errores de configuración. Estos podrían incluir el otorgar acceso “sudo” de manera innecesaria o no proteger adecuadamente la información privilegiada de cuentas.

Ingeniería social

Este método se basa mucho en la interacción humana, en vez de en fallos técnicos. Un escenario típico puede involucrar engañar a los empleados para que revelen sus detalles de inicio de sesión, permitiendo a los atacantes una entrada sencilla a redes seguras, desde las cuales pueden escalar sus niveles de autorización. La detección de ataques de ingeniería social requiere de una vigilancia realizada por humanos, pero las herramientas disponibles están diseñadas específicamente para detectar incidencias potenciales que implican privilegios escalados.

Estos ataques también pueden resultar específicos para sistemas operativos, como Linux y Windows. Aquí les indicamos algunos de los ejemplos más comunes de ataques de escalada de privilegios basados en cada uno de estos sistemas operativos:

Escalada de privilegios en Linux

La naturaleza de código abierto de Linux lo vuelve susceptible a ciertos tipos de ataques de escalada de privilegios, como:

• Explotación de Kernel: Un método común en que los atacantes aprovechan las vulnerabilidades en el kernel de Linux para obtener privilegios de raíz. Al explotar estas debilidades, pueden ejecutar cargas útiles malintencionadas que les permitan ejecutar acciones malintencionadas con privilegios escalados.
• Enumeración: Los agentes de amenaza recopilan información acerca del sistema, como cuentas de usuarios o recursos de red, que podrían explotarse en futuros ataques.
• Explotación de derechos de SUDO: Los atacantes frecuentemente intentan hacer escalada de privilegios aprovechando derechos de “sudo” mal configurados. Si un usuario privilegiado ha sido lo suficientemente descuidado con sus permisos de acceso “sudo”, un atacante bien podría aprovechar esto para su propio beneficio.

Escalada de privilegios en Windows

Otro sistema operativo ampliamente utilizado, que también tiene una cantidad de incidencias de privilegios, es Windows, principalmente debido a que muchas empresas lo usan mucho para sus operaciones empresariales. Aquí indicamos algunos de los métodos más comunes:

• Manipulación de token de acceso: Esta técnica implica la manipulación de los tokens asociados con una cuenta privilegiada para engañar al sistema y lograr que otorgue acceso de nivel más alto que el previsto.
• Evadir el control de cuentas de usuario (UAC): Un atacante podría intentar evadir las advertencias de UAC diseñadas para evitar los cambios no autorizados usando procesos furtivos que no disparen las alertas.
• Sticky keys: Este ataque reemplaza ethc(.exe) (la aplicación responsable de manejar Sticky Keys) con cmd(.exe) (línea de comandos), permitiendo a cualquiera que pulse SHIFT cinco veces en la pantalla de inicio obtener privilegios de administrador sin necesidad de credenciales.

Detectar la escalada de privilegios requiere de sofisticadas medidas de seguridad, dado lo sutil de la operación de los atacantes al intentar hacer estas vulneraciones. Si bien las soluciones de prevención y detección antes mencionadas ofrecen una base adecuada, las organizaciones suelen necesitar de apoyo adicional para mantener a sus sistemas totalmente protegidos.

Para poder mitigar la miríada de ataques de escalada de privilegios que pueden ocurrir, contar con un sistema de defensa ante amenazas de identidad es fundamental. La solución de detección y respuesta ante amenazas de identidad de Proofpoint ofrece una estrategia eficaz para detectar y responder a tales amenazas.

La exhaustiva herramienta de Proofpoint ayuda a detectar las incidencias de privilegios mediante la monitorización de cuentas de usuarios en busca de actividades sospechosas o cambios en patrones de comportamiento. Emplea análisis avanzados para identificar potenciales riesgos, incluyendo intentos de ejecutar acciones malintencionadas o escaladas de privilegios.

La plataforma está diseñada con sofisticados mecanismos capaces de reconocer las técnicas de escalamiento de privilegios horizontal y vertical. Tanto si es un atacante intentado obtener privilegios de raíz o un usuario privilegiado intentando obtener acceso no autorizado a datos de otros usuarios, Proofpoint garantiza una detección inmediata de estas amenazas.

• Detección de escalada de privilegios: La herramienta efectivamente identifica cualquier actividad inusual como obtener acceso más allá del nivel de permiso de la persona, cambios súbitos en los derechos de administrador del sistema, mal uso del acceso “sudo”, etc., indicando posibles intentonas de escaladamiento de privilegios.
• Respuesta a incidencias: Al detectar una potencial incidencia en la que un atacante compromete las medidas de seguridad para aprovecharse de los privilegios ampliados, Proofpoint inmediatamente genera alertas, permitiendo una respuesta rápida por parte de su equipo de TI.
• Mitigación de riesgos: Aplicando rigurosamente el principio del mínimo privilegio en todos los sistemas (Incluyendo Linux y Windows), minimiza las oportunidades de los atacantes para intentar escaladas de privilegios mediante robo de credenciales o entregando cargas útiles en su infraestructura de red.

Además de este enfoque proactivo para evitar ataques, Proofpoint ayuda a las organizaciones a crear entornos seguros, capacitándolos acerca de ejemplos comunes de agentes malintencionados que explotan vulnerabilidades del sistema para obtener acceso no autorizado. Este conocimiento empodera a las empresas no solo de manera reactiva sino también de manera proactiva para que se mantengan a la delantera de los cibercriminales que emplean tácticas cada vez más evolucionadas. ¡Contáctenos hoy mismo para más información!