Tipps zum Schutz vor Angriffen durch Rechteausweitung
Berechtigungen bestimmen den Zugriff eines Benutzers oder Gerätes auf ein Netzwerk. Angreifer, die sich Zugang zu diesen verschaffen, können nachfolgend immensen Schaden anrichten.
Software und Betriebssysteme sind auf Zugriffsrechte angewiesen, um den Zugriff von Benutzern und Geräten auf Konfigurationseinstellungen, Funktionen und Daten zu begrenzen. Zugriffsrechte sind daher ein äußerst wichtiges Sicherheitsmerkmal. Sie steuern den Umfang, in dem ein Benutzer mit einem System oder einer Anwendung und den damit verbundenen Ressourcen interagieren kann. Sie können von einfachen Berechtigungen, die nur grundlegende Aktionen erlauben - wie den Zugriff auf Büroanwendungen - bis hin zu weitreichenden Administrator- oder Root-Rechten reichen, die potenziell die vollständige Systemkontrolle ermöglichen.
Daher sind Berechtigungen ein begehrtes Ziel für Angreifer. Das Ziel eines Angriffs zur Rechteausweitung ist es, zusätzliche Privilegien für Systeme und Anwendungen innerhalb eines Netzwerks oder Online-Dienstes zu erhalten.
Verschiedene Arten der Angriffe mit Rechteausweitung
Angriffe zur Ausweitung von Privilegien lassen sich in zwei große Kategorien einteilen:
Horizontale Rechteausweitung. Nachdem sich der Angreifer erfolgreich Zugang zu einem bestehenden Benutzer- oder Gerätekonto verschafft hat, nutzt er diesen Zugang, um sich in ein anderes Konto einzuhacken. Diese Taktik führt zwar nicht unbedingt dazu, dass der Hacker zusätzliche Privilegien erlangt, kann aber dem neuen Opfer schaden, wenn der Angreifer die persönlichen Daten und andere Ressourcen des Ziels abgreift. Schwachstellen in Websites können Cross Site Scripting (XSS), Cross Site Request Forgery und andere Arten von Angriffen ermöglichen, um die Anmeldeinformationen oder Authentifizierungsdaten eines anderen Benutzers abzufangen und Zugriff auf das Konto zu erhalten.
Vertikale Rechteausweitung. Dies ist in der Regel die zweite Phase eines mehrstufigen Cyberangriffs. Angreifer versuchen, Systemfehlkonfigurationen, Schwachstellen, schwache Passwörter und unzureichende Zugangskontrollen auszunutzen, um administrative Berechtigungen zu erlangen, mit denen sie weiterhin auf andere Ressourcen im Netzwerk zugreifen können. Sobald sie mit stärkeren Privilegien ausgestattet sind, können Angreifer Malware und Ransomware installieren, Systemeinstellungen ändern und Daten stehlen. Sie können sogar Protokolle löschen, so dass ihre Anwesenheit im Netzwerk unbemerkt bleibt. Dies ist die gefährlichere Kategorie des Eskalationsangriffs, da der Angreifer in der Lage sein kann, die Kontrolle über das gesamte Netzwerk zu übernehmen.
Wie Angriffe zur Rechteausweitung funktionieren
Die folgenden Methoden werden von böswilligen Hackern häufig verwendet, um Angriffe zur Rechteausweitung durchzuführen. Die ersten beiden Methoden werden bei horizontalen Angriffen zur Privilegienerweiterung verwendet, aber je nach dem letztendlichen Ziel des Angreifers können die kompromittierten Konten auch verwendet werden, um eine vertikale Rechteausweitung zu erreichen.
Social Engineering.Social-Engineering-Angriffe - einschließlich Phishing, Watering Hole und Pharming - werden häufig eingesetzt, um Benutzer zur Preisgabe ihrer Zugangsdaten zu verleiten. Bei dieser Art von Angriffen ist es nicht notwendig, eine komplexe Kampagne zu starten, um die Sicherheitsmaßnahmen eines Systems zu umgehen.
Schwache Anmeldeinformationen. Schwache, wiederverwendete oder gemeinsam genutzte Kennwörter stellen für einen Angreifer eine einfache Möglichkeit dar, unbefugten Zugriff auf ein Konto zu erhalten. Wenn das Konto über Adminrechte verfügt, besteht die unmittelbare Gefahr, dass das Netzwerk ernsthaft gefährdet wird.
Fehlkonfigurationen des Systems. Netzwerkressourcen, bei denen die Sicherheitseinstellungen nicht gesperrt wurden, können Angreifern die Möglichkeit bieten, mehr Rechte als beabsichtigt zu erhalten; denken Sie beispielsweise an Cloud-Speicherbereiche mit öffentlichem Zugriff. Falsch konfigurierte Netzwerkschutzmaßnahmen wie Firewalls und offene und ungeschützte Ports sowie Standardpasswörter für wichtige Konten und unsichere Standardeinstellungen für neu installierte Anwendungen - beides besonders häufig bei IoT-Geräten - bieten Angreifern die Möglichkeit, zusätzliche Privilegien zu erlangen.
Schadsoftware. Malware wie Keylogger, Memory Scraper und Netzwerk-Sniffer können Passwörter stehlen. Sobald die Malware in das Netzwerk eingeschleust wurde, kann sie je nach den Berechtigungen des kompromittierten Kontos weitaus gefährlichere Angriffe auslösen.
Systemschwachstellen. Jede öffentlich zugängliche Schwachstelle im Entwurf, in der Implementierung oder in der Konfiguration eines Systems kann Angreifern die Möglichkeit geben, sich durch die Ausführung von bösartigem Code Kontorechte zu verschaffen, um Shell-Zugriff zu erhalten.
Einen Angriff zur Rechteausweitung verhindern
Wie bei jedem Cyberangriff werden bei der Rechteausweitung Schwachstellen in Diensten und Anwendungen ausgenutzt, die in einem Netzwerk laufen, insbesondere solche mit schwachen Zugriffskontrollen. Die Ausweitung von Berechtigungen ist eine Schlüsselphase in einem umfassenden Cyberangriff. Die Sicherheitskontrollen, die diese Art von Angriffen verhindern sollen, müssen stark sein und regelmäßig gewartet werden.
Im Folgenden haben wir sechs bewährte Verfahren zusammengefasst, die beim Schutz des Netzwerks helfen:
Konten mit umfassenden Berechtigungen auf dem neuesten Stand halten
Die Durchsetzung des Prinzips der geringsten Privilegien (POLP), um die Zugriffsrechte von Benutzern und Diensten auf das absolute Minimum zu beschränken, verringert die Chancen eines Angreifers, Administratorrechte zu erlangen.
Das Sicherheitsteam und die Personalabteilung müssen zusammenarbeiten, um eine unnötige Ausweitung der Privilegien (schleichende Rechteausweitung, Privilege Creep) zu verhindern. Es gilt sicherzustellen, dass das Inventar der Benutzerkonten genau aufzeichnet, wer, was, wo und warum ein Konto existiert und welche Privilegien ihm gewährt wurden. Die Minimierung der Anzahl und des Umfangs privilegierter Konten bei gleichzeitiger Überwachung und Protokollierung ihrer Aktivitäten trägt ebenfalls dazu bei, einen möglichen Missbrauch zu erkennen.
Software patchen und aktualisieren
Die beste Maßnahme zur Abwehr von Cyberangriffen ist es, die Chancen eines Angreifers, eine ausnutzbare Schwachstelle zu finden, zu verringern. Eine umfassende Patch-Verwaltung erschwert es Angreifern, Schwachstellen in Systemen und Anwendungen auszunutzen; insbesondere sollten Browser und Antiviren-Software auf dem neuesten Stand gehalten werden.
Schwachstellenscans durchführen
Durch regelmäßiges Scannen aller Komponenten der IT-Infrastruktur auf Schwachstellen wird es für einen Angreifer schwieriger, im Netz Fuß zu fassen. Schwachstellenscans finden Fehlkonfigurationen, nicht dokumentierte Systemänderungen, ungepatchte oder unsichere Betriebssysteme und Anwendungen sowie andere Schwachstellen, bevor potenzielle Angreifer sie ausnutzen können.
Überwachung von Netzwerkverkehr und -verhalten
Wenn es einem Angreifer gelingt, die Anmeldedaten eines Netzwerkbenutzers zu erhalten, kann die Anwesenheit des Eindringlings unentdeckt bleiben, es sei denn, das Netzwerk wird ständig auf ungewöhnlichen Datenverkehr oder Benutzerverhalten überwacht. Software zur Analyse des Benutzer- und Entitätsverhaltens kann eine Basislinie für legitimes Verhalten erstellen und Aktivitäten markieren, die von der Norm abweichen und auf eine mögliche Gefährdung hinweisen.
Die Ausweitung von Berechtigungen ist eine Schlüsselphase in einem umfassenden Cyberangriff. Die Sicherheits-Kontrollen, die diese Art von Angriffen verhindern sollen, müssen stark sein und regelmäßig gewartet werden.
Eine strenge Passwortrichtlinie einführen
Eine Kennwortrichtlinie ist der effektivste Weg, um einen horizontalen Angriff zur Eskalation von Privilegien zu verhindern, vor allem, wenn sie mit einer mehrstufigen Authentifizierung (MFA, Multifaktor-Authentifizierung) kombiniert wird. Passwortmanager können Benutzern helfen, eindeutige und starke Passwörter zu erstellen und sicher zu speichern, die den Sicherheitsrichtlinien entsprechen. Alle Konten mit administrativen Berechtigungen sollten MFA erfordern.
Schulungen zum Sicherheitsbewusstsein durchführen
Menschen sind in der Regel das schwächste Glied in der Sicherheit eines Unternehmens. Sie können unwissentlich einen Eskalationsangriff unterstützen, indem sie schwache Passwörter verwenden, auf bösartige Links oder Anhänge klicken und Warnungen vor gefährlichen Websites ignorieren. Regelmäßige Schulungen zum Sicherheitsbewusstsein sorgen dafür, dass neue Bedrohungen erklärt werden können und die Sicherheitsrichtlinien im Gedächtnis der Mitarbeiter bleiben. Weisen Sie auf die Gefahren und Risiken der gemeinsamen Nutzung von Konten und Anmeldedaten hin.
Angriffe mit Rechteausweitung gehören zu den schwerwiegendsten. Ein gut ausgearbeiteter Notfallplan ist von entscheidender Bedeutung. Wenn ein entsprechender Vorfall entdeckt wird, muss das kompromittierte Konto schnell isoliert, sein Passwort geändert und dann deaktiviert werden. Das Sicherheitsteam muss dann eine gründliche Untersuchung durchführen, um das Ausmaß des Eindringens zu ermitteln und die gefährdeten Ressourcen zu identifizieren.
Erfahren Sie mehr über Identity and Access Management (IAM)
