wladimir1804 - stock.adobe.com
Wie man das Risiko Privilegien-Eskalation eindämmen kann
Angreifer sind sehr findig darin, sich per Rechteausweitung höhere Berechtigungen zu verschaffen und sich so freier in Unternehmensumgebungen zu bewegen, ohne entdeckt zu werden.
Unter Privilegieneskalation, englisch Privilege Escalation, versteht man den Prozess, bei dem ein Benutzer mit eingeschränktem Zugang zu IT-Systemen den Umfang und das Ausmaß seiner Berechtigungen erweitert. In vielen Fällen – und zeitlich eingeschränkt – ist diese Privilegien-Erweiterung nützlich und gut, etwa wenn ein Mitarbeitender erhöhten Zugriff benötigt, um ein technisches Problem zu lösen oder ein Programm zu installieren. Gleichzeitig ist Privilegieneskalation, beziehungsweise Rechteausweitung, aber auch eine der häufigsten Techniken von Hackern, um sensible Daten zu exfiltrieren. Und nicht selten gelingt es ihnen, die Privilegien eines Standardbenutzers oder Anwendungskontos bis hin zum Administrator-, Root- oder sogar vollständigen Systemzugriff zu erweitern.
Dabei unterscheidet man zwei verschiedene Arten der Eskalation. Ist es einem Angreifer gelungen, ein Benutzerkonto zu kompromittieren, das nur begrenzte Berechtigungen auf einem System hat, und sucht er nun nach Möglichkeiten, seine Privilegien unter Verwendung desselben Kontos zu erhöhen, spricht man von vertikaler Eskalation. Zum Beispiel wird der Hacker versuchen, das kompromittierte Konto zur lokalen Administratorgruppe hinzuzufügen. Gängiger ist jedoch die horizontale Rechteausweitung, bei der sich ein Angreifer Zugang zu einem anderen Berechtigungsnachweis im Netzwerk verschafft, der über höhere Privilegien verfügt als der ursprüngliche, über den er in das System eingedrungen ist. Auf diese Weise kann er sich nun frei im Netzwerk bewegen, ohne Gefahr zu laufen, entdeckt zu werden.
Achillesferse privilegierte Konten
Privilegierte Konten sind das Herzstück eines jeden Unternehmens, denn sie ermöglichen es den Nutzern wichtige Geschäftsentscheidungen zu treffen. So können diese Accounts unter anderem Änderungen an der System- und Softwarekonfiguration vornehmen, Konten erstellen und ändern, Software bereitstellen, Sicherheitspatches installieren und natürlich auf sensible Daten zugreifen.
Das wohl bekannteste Beispiel für ein mit weitreichenden Rechten ausgestattetes Konto ist das administrative Benutzerkonto, über das die gesamte IT-Infrastruktur gesteuert werden kann. Aber auch lokale und Domain-Administratorkonten sind typische privilegierte Konten genauso sowie Root-Konten zur Verwaltung von Unix- oder Linux-Plattformen oder Anwendungs-Accounts, etwa für die Ausführung von Skripten oder den Zugriff auf Datenbanken.
Bei Cyberkriminellen stehen privilegierte Accounts hoch im Kurs, da sie administrative oder spezialisierte Zugriffsebenen ermöglichen. Gelingt es ihnen, ein solches Konto zu kompromittieren, verfügen sie über Rechte, die es ihnen erlauben, elementare Sicherheitssysteme auszuschalten, Fernzugriffe einzurichten, sensible personenbezogene Daten auszuspähen oder ungestört Schadsoftware zu installieren.
Diese Schwachstellen begünstigen Rechteausweitung
Bei ihrem Vorhaben, privilegierte Konten anzugreifen und Rechte Schritt für Schritt zu eskalieren, setzen Cyberkriminelle in der Regel auf bewährte Angriffstechniken. Dabei versuchen sie zunächst, so viel wie möglich über eine IT-Umgebung herauszufinden und erkunden die Systeme, um einen versteckten Angriffspfad zu finden, der bei den Sicherheitsteams nicht sofort die Alarmglocken läuten lässt. So suchen sie etwa gezielt nach privilegierten Accounts, die nicht verwaltet und nicht überwacht werden. Sobald sie sich Zugang verschafft haben, kommen die Angreifer nicht selten schneller voran als gedacht. Dies liegt auch an einer Vielzahl verschiedener Sicherheitslücken und Schwachstellen, die ihnen in die Hände spielen. Dazu zählen unter anderem:
- Überprivilegierte Benutzer: Werden die Rechte von Mitarbeitenden nicht nach dem Least-Privilege-Prinzip (POLP, Prinzip der minimalen Rechtevergabe) eingeschränkt, kann es schnell passieren, dass normale Geschäftsanwender auf ihren persönlichen Workstations über lokale Administratorrechte verfügen. Angreifer nutzen diese, um mithilfe von Tools wie Mimikatz und Änderungen an der Betriebssystemkonfiguration die Privilegien bis Full-Domain zu erweitern.
- Nicht angeführte Servicepfade: Obwohl das Risiko bekannt ist, sind Services mit nicht angeführten Pfaden überraschenderweise immer noch oft zu finden. In Kombination mit unzureichenden Ordnerberechtigungen kann ein Angreifer so eine ausführbare Datei in einem übergeordneten Ordner platzieren, in dem Windows zuerst nach der ausführbaren Datei sucht, um sie auszuführen.
- Unsichere Serviceberechtigungen: Wird ein Service mit SYSTEM-Privilegien ausgeführt, während der (legitime oder illegitime) Benutzer über die Berechtigung verfügt, den Bin-Pfad der ausführbaren Datei zu ändern, kann er eine Reverse Shell erstellen. Hacker sind so in der Lage, Kommunikationsports zwischen ihren Rechnern und dem des Opfers einzurichten.
- Schwache Registrierungsberechtigungen: Wenn ein Angreifer in der Lage ist, die Registrierungskonfiguration eines Dienstes zu ändern, kann er wie im Beispiel der unsicheren Serviceberechtigungen den Pfad in der Dienstkonfiguration ändern, um eine Binärdatei seiner Wahl auszuführen. Auf diese Weise kann man wiederum eine Reverse Shell erstellen oder die Rechte auf dem System erhöhen.
- Unsichere GUI-Apps: Eine im Jahr 2021 aufgetretene Sicherheitslücke in einer Razer-Software ermöglichte es einem Benutzer, beim Anschließen einer Maus seine Rechte zu einem Windows 10-Administrator zu erweitern. Sobald die Maus eingesteckt war, wurde ein Windows-Update gestartet, das den Razer-Installer als SYSTEM herunterlud. Anschließend war es möglich, den Explorer zu verwenden, um ein erweitertes PowerShell-Fenster zu starten.
„Davon auszugehen, dass man eine unautorisierte Erhöhung von Privilegien gänzlich verhindern kann, wenn man die gängigen Schwachstellen und Angriffsstrategien der Hacker im Blick hat, ist naiv.“
Andreas Müller, Delinea
Privilegieneskalation für Angreifer erschweren
Wenn es um die Eskalation von Rechten geht, zeigen sich Cyberkriminelle gern von ihrer kreativen und hartnäckigen Seite. Davon auszugehen, dass man eine unautorisierte Erhöhung von Privilegien gänzlich verhindern kann, wenn man die gängigen Schwachstellen und Angriffsstrategien der Hacker im Blick hat, ist naiv. Nichtsdestotrotz sollten Security-Teams alle Register ziehen, um Manipulationsversuche zu erschweren. Dabei ist es wichtig, die eigenen Systeme so gut es geht zu härten und Angreifer so zu zwingen, „lautere“ Techniken zu verwenden, um die Warnzeichen einer Privilegieneskalation zu erkennen, bevor es zur Katastrophe kommt. Folgende fünf bewährte Methoden sind hierfür besonders geeignet:
Nutzen Sie unternehmensweit eine PAM-Lösung (Privileged Access Management) und schieben Sie Passwörter in den Hintergrund
Werden Passwörter in sichere Tresore verschoben, können Angreifern diese während der Enumeration-Phase nicht so leicht aufspüren. Eine starke PAM-Lösung verhindert, dass Passwörter im Klartext auf dem Desktop hinterlassen, in Konfigurationsdateien versteckt oder in unsicheren Browsern gespeichert werden. Zudem wird sichergestellt, dass alle Dienste über ein bereitgestelltes Konto mit den richtigen Sicherheitskontrollen verfügen, einschließlich komplexer Passwörter, die regelmäßig rotiert werden.
Entfernen Sie lokale Administratorrechte und setzen Sie das Least-Privilege-Prinzip um
Zero Trust ist das ultimative Security-Paradigma und ein wichtiger Pfeiler dieses Sicherheitsansatzes ist der Übergang zu nicht-persistenten Privilegien und dem Umsetzen einer minimalen Rechtevergabe. Dies bedeutet, dass jeder Benutzer beziehungsweise jedes Konto gerade genug Rechte haben sollte, um die ihm zugewiesenen Aufgaben erledigen zu können. Unnötige Administratorrechte werden so verhindert und gängige Angriffspunkte für Privilegien-Eskalation, wie unsichere Dienste, Registrierungs- und Verzeichnispfade, beseitigt.
Setzen Sie flächendeckend auf MFA
Passwörter sind Angriffsziel Nummer eins, weshalb sie niemals die einzige Authentifizierungshürde für kritische Systeme, Anwendungen oder Berechtigungen sein dürfen. Stattdessen muss sichergestellt werden, dass Sicherheitskontrollen wie Multifaktor-Authentifizierung (MFA), Zugriffs-Workflows und Genehmigungen hinzugefügt werden, um zu gewährleisten, dass nur autorisierte User Privilegien nutzen können, selbst wenn ein Angreifer ein Passwort kompromittiert hat. MFA muss dabei nicht nur bei der Systemanmeldung, sondern zwingend auch bei der horizontalen und vertikalen Privilegieneskalation erforderlich sein.
Implementieren Sie eine Anwendungskontrolle
Die Möglichkeit, Anwendungen und Skripte auszuführen, die für einen Exploit von Privilegien missbraucht werden können, muss eingeschränkt werden. Hierzu eignen sich spezielle Approval- beziehungsweise Deny-Listen, die steuern, welche Anwendungen ausgeführt und welche blockiert beziehungsweise zusätzlichen Prüfungen unterzogen werden müssen.
Überprüfen und protokollieren Sie die Nutzung aller Zugriffsrechte
Um Missbrauch und verdächtige Aktivitäten frühzeitig zu erkennen, ist es unerlässlich, privilegierte Sitzungen kontinuierlich zu überwachen. Hierzu sollten Warnmeldungen eingerichtet werden, um sicherzustellen, dass bei verdächtigen Vorfällen unmittelbar Nachforschungen angestellt werden können. Sollte es tatsächlich zu einer Privilegieneskalation kommen, sind die IT-Teams dann in der Lage, auf den Vorfall zu reagieren und die Ursache des Angriffs zu identifizieren, um eine Wiederholung zu verhindern.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
