本文可帮助您更多地了解特权升级攻击,与其他漏洞利用有何不同以及如何缓解和抵御这些威胁。让我们先来看看什么是特权升级攻击。
特权升级攻击是指标准用户通过假冒该用户来访问另一个用户的帐户。当用户欺骗系统授予的权限高于应用程序开发人员或IT管理员打算提供给普通用户帐户的权限时,特权升级也会发生。无论哪种情况,升级都是出于恶意目的。
特权的升级基本上有两种方式:水平升级和垂直升级。当用户获得在相同权限或特权范围内的另一个帐户的访问权时,就会发生水平升级。当犯罪者使用普通用户帐户获得与管理员相同的提升权限时,就会发生垂直升级。
首先,让我们看一下这些威胁对公司环境中大型网络造成的风险。然后,我们将引导您逐步了解如何保护自己的网络免受此类攻击。
下图显示了在哪里可以找到用户帐户控制和应用程序权限设置
让我们看一下Web服务器上下文中的特权升级攻击。当网站根据浏览器返回的不可信输入做出访问控制决策时,可以执行特权升级攻击。每当用户登录网站时,在Web服务器和浏览器之间交换会话标识符时,攻击者可能会篡改HTTP cookie的内容。Web服务器需要了解它们在每个后续HTTP请求上当前正在与哪个系统通信。
会话标识符保留重要信息,例如会话ID,用户ID和用户角色。攻击者可以通过将Cookie加载到他们的浏览器中,从而轻易地操纵或窃取该数据以冒充另一个用户,从而欺骗Web服务器向他们授予该用户的特权和权限。
用于特权升级的另一种复杂的方法称为跨站点脚本或XSS。攻击者使用XSS在网站内容中引入恶意代码,然后仅等待用户单击包含脚本的内容。完成此操作后,该脚本将运行并收集有关会话和cookie的所有信息,然后将其发送到黑客的Web服务器,而不是发送到承载该站点的普通Web服务器。所有这些都是在用户完全不知道后端发生了什么的情况下发生的。
Web服务器是面向Internet的关键组件,并且由于它们容易受到基于Web的攻击,因此必须确保它们的安全性和准确的配置。使用数字证书对HTTP cookie进行防篡改,并将与cookie相关的重要信息放在服务器端,是防止此类攻击的可行措施。
以上情况是水平特权升级的经典示例。垂直特权升级攻击对组织而言更是令人震惊,因为它可能会影响其他计算机并通过网络访问共享。
大多数特权升级攻击基于利用网络中存在的不足的安全配置和软件漏洞。确保您的防病毒软件是最新的,并在供应商发布软件应用程序后立即对其进行更新或打补丁,这对于防止此类攻击非常有用。
这是攻击者常用的一些方法
缓冲区是分配给程序的内存空间,这些程序用于在计算机的随机存取存储器(RAM)中运行和存储临时数据。当程序将分配的缓冲区之外的数据写入程序存储器的其他未指定存储该数据的区域时,就会发生缓冲区溢出,也称为缓冲区溢出。此漏洞为攻击者引入恶意代码提高了特权铺平了道路。
例如:某些应用程序或程序并非供组织中的标准用户使用,而是由特权更高的用户(例如管理员或技术人员)控制。跟踪网络上的系统并监视员工使用情况的应用程序属于此类别。标准用户可以使用缓冲区溢出来注入脚本,这些脚本会阻止应用程序或程序正常运行以获取提升的权限并侵入网络中的其他系统。
缓冲区溢出通常被软件开发人员忽略,为确保企业的最大安全性,在发布应用程序更新时必须安装缓冲区更新。
默认情况下,以提升的权限安装应用程序会增加客户端系统的攻击面,使攻击者更容易导航到网络上的其他系统。我建议以尽可能少的特权或权限安装应用程序,并要求用户在需要对计算机进行更改时向系统管理员发送请求。
恶意用户可以使用在后台运行的系统服务,并且可以提升其特权。为此,用户可以通过更改错误处理程序的功能来操纵身份验证机制。在这种情况下,用户还可能引入恶意错误处理程序,该程序可能会授予他们访问系统关键资源的权限。
有多种方法可以防止特权升级攻击,但现在让我们考虑最关键的方法。
数据执行保护(DEP)是Windows系统中嵌入的一项硬件功能,可以增强安全性。若要了解其工作原理,请考虑计算机的RAM,在应用程序运行时将程序存储器存储在其中。实际上,RAM中存储了两种类型的内存。一个是实际的可执行代码,另一个是代表程序状态的数据。
启用DEP后,如果将特定数据作为可执行代码运行,则Windows将阻止该请求,并且程序将崩溃。由于写入RAM数据部分的代码很容易受到恶意攻击,因此应该为网络中的计算机启用DEP。在我们的情况下,此代码可能包含提高标准或普通用户特权的说明。
地址空间布局随机化(ASLR)是一种安全技术,攻击者很难利用缓冲区溢出和其他软件漏洞在内存中的已知地址执行带有特权指令的代码。
ASLR将程序存储器的组件(例如堆栈,堆和库)随机化,这使得很难在存储器中找到重要的位置或地址(例如功能地址)。ASLR是操作系统的功能,它使堆栈内存不可执行。
从系统的角度来看,有四种类型的用户:标准用户,管理员,root用户和内核用户。在进行特权升级攻击时,网络犯罪分子会获得管理特权,以冒充普通用户身份,并努力成为root用户甚至内核级用户。
一旦达到内核级别,攻击者就可以执行直接影响计算机操作系统的任何代码,并可以执行恶意行为。使用数字签名证书访问根和内核模式将有助于解决此问题。
修补软件是一种防止特权升级的简单而有效的方法,因为它可以提高应用程序的安全性并最大程度地减少攻击者从一个系统导航到另一个系统的机会,从而减少了企业的整体攻击面。修补第三方应用程序在管理网络时也很重要,但很容易忽略,但很容易被忽略。
服务是在后端执行功能的组件,它们是重复的或长时间运行的。其中包括检查新数据,处理数据等。应用程序有时会使用对单个系统具有较高权限的服务。因此,必须密切监视使用后台服务实现其完整功能的应用程序。
上述所有预防措施都相对容易建立,并且可以有效地防止单个计算机上的利用。但是,在管理办公室网络等网络上的大量系统时,实现这些措施非常繁琐且耗时。
Vulnerability Manager Plus是ManageEngine的终端安全产品,可通过在企业环境中以足够的可伸缩性管理系统来弥合这种差距。Vulnerability Manager Plus帮助系统管理员检测整个网络系统中存在的错误配置和软件漏洞,并将它们显示在基于浏览器的集中式控制台中。
让我们看看Vulnerability Manager Plus的一些有趣功能。
立即下载Vulnerability Manager Plus, 以加强托管系统的安全性。