權限提升是 利用 操作系統或應用程序 中的編程錯誤、 漏洞、設計缺陷、配置監督或 訪問控制來獲得對通常被應用程序或用戶限制的資源的未經授權的訪問。這導致應用程序或用戶擁有比開發人員或系統管理員預期更多的權限，從而允許攻擊者訪問 敏感數據、安裝 惡意軟件 并發起其他 網絡攻擊。

權限提升如何工作？

大多數計算機系統都設計為與多個用戶帳戶一起使用，每個帳戶都具有稱為特權的能力。通用權限包括查看、編輯或修改文件的能力。權限提升是指攻擊者通過利用目標系統或應用程序中的權限提升漏洞獲得他們無權獲得的權限，這使他們可以覆蓋當前用戶帳戶的限制。權限提升是惡意用戶獲取系統初始訪問權限的常用方法。攻擊者首先找到組織網絡安全中的弱點， 以初步滲透到系統中。

在許多情況下，第一個滲透點不會為攻擊者提供他們需要的文件系統的訪問級別或訪問權限。然后，他們將嘗試提升權限以獲得更多權限或訪問其他更敏感的系統。在某些情況下，嘗試提權的攻擊者發現大門是敞開的。信息安全不足 、未遵循 最小權限原則 以及缺乏 縱深防御， 使普通用戶獲得的權限超出了他們的需要。在其他情況下，攻擊者利用糟糕的修補節奏、 零日漏洞 或使用特定技術來克服操作系統的權限機制。

為什么防止特權升級很重要？

雖然權限提升通常不是攻擊者的最終目標，但它經常用于準備更具體的網絡攻擊，允許入侵者部署惡意負載、調整安全設置并在目標系統中打開額外的攻擊向量。

每當您檢測或懷疑特權升級時，請使用 數字取證 來查找其他惡意活動的跡象，例如 計算機蠕蟲、 惡意軟件、 企業間諜活動、 數據泄露、 數據泄露、 中間人攻擊 和被盜 的個人身份信息 (PII)， 受保護的健康信息 (PHI)、 心理數據 或 生物特征。

即使沒有進一步攻擊的證據，特權升級事件也代表著重大的 網絡安全風險 ，因為這意味著有人未經授權訪問特權帳戶和機密或敏感信息。在許多行業中，這些事件需要在內部和相關當局報告，以確保合規。

特權提升的兩種類型是什么？

有兩種主要的權限提升技術：

• 垂直權限提升（權限提升）： 攻擊者試圖獲得更高的權限或使用他們已經破壞的現有帳戶進行訪問。例如，攻擊者接管網絡上的常規用戶帳戶并嘗試獲得管理權限。通常是 Microsoft Windows 上的管理員或系統用戶，或 Unix 和 Linux 系統上的 root。一旦他們獲得提升的權限，攻擊者就可以竊取有關特定用戶的 敏感數據，安裝勒索軟件、 間諜軟件 或其他 類型的惡意軟件，執行惡意代碼并破壞您組織的安全狀況。
• 橫向權限提升： 攻擊者通過接管特權帳戶并濫用授予用戶的合法權限來擴展其權限。對于本地權限提升攻擊，這可能意味著劫持具有管理員權限或 root 權限的帳戶，對于 Web 應用程序可能意味著獲得對用戶銀行帳戶或 SaaS 應用程序管理員帳戶的訪問權限。

什么是特權提升的例子？

三種常見的權限提升技術是：

• 訪問令牌操作： 利用 Microsoft Windows 管理管理員權限的方式。通常，Windows 使用訪問令牌來確定正在運行的進程的所有者。通過令牌操作，攻擊者欺騙系統，使其相信正在運行的進程屬于不同的用戶，而不是實際啟動進程的用戶。發生這種情況時，該進程將采用與攻擊者的訪問令牌相關聯的安全上下文。這是特權提升或垂直特權提升的一種形式。
• 繞過用戶帳戶控制： Windows 有一種用于控制用戶權限的結構化機制，稱為用戶帳戶控制 (UAC)，它充當普通用戶和管理員之間的屏障，限制標準用戶權限，直到管理員授權增加權限。但是，如果計算機上的 UAC 保護級別未正確配置，則某些 Windows 程序將被允許提升權限或執行組件對象模型 (COM) 對象，而無需先請求管理員權限。例如，rundll32.exe 可以加載動態鏈接庫 (DLL)，該動態鏈接庫 (DLL) 會加載具有提升權限的 COM 對象，從而允許攻擊者繞過 UAC 并獲得對受保護目錄的訪問權限。
• 使用有效帳戶： 攻擊者未經授權訪問具有提升權限的管理員或用戶，并使用它登錄敏感系統或創建自己的登錄憑據。

如何防止權限提升攻擊

攻擊者使用許多權限提升技術來實現他們的目標。好消息是，如果您可以快速檢測到成功或嘗試的權限提升攻擊，您就有很大的機會在入侵者發動主要攻擊之前阻止他們。

為了首先嘗試提權，攻擊者通常需要獲得對特權較低的帳戶的訪問權限。這意味著普通用戶帳戶是您的第一道防線，請確保投資于強大的 訪問控制：

• 實施密碼策略： 提高安全性的最簡單方法之一是實施安全密碼。不要重復使用密碼，因為它們可能會在 大數據泄露中暴露出來。 請參閱我們的指南，了解如何創建強密碼 并投資工具以 持續監控泄露的憑據。
• 創建具有最低必要權限和文件訪問權限的專用用戶和組：安全上下文中的最低權限原則 是指僅向普通用戶提供他們完成工作所需的一組權限，僅此而已。 閱讀我們的訪問控制指南了解更多信息。雖然為每個用??戶提供對所有資源的相同訪問級別很方便，但它為攻擊者提供了進入您組織的單點入口，在您的 數據安全、 信息安全 和 網絡安全工作中采用深度防御要安全得多 。
• 投資于網絡安全意識培訓： 即使您的組織擁有強大、強制執行的密碼策略，網絡釣魚和魚叉式網絡釣魚等社會工程攻擊也可能導致網絡犯罪分子訪問您的敏感系統。對您的員工和第三方供應商進行常見 網絡威脅 以及如何避免它們的教育。啟用 DMARC 以防止 電子郵件欺騙 并購買潛在 的仿冒 域名。

對于應用程序的安全性，至關重要的是：

• 避免應用程序中的常見編程錯誤： 遵循最佳實踐以避免攻擊者針對的常見錯誤，例如緩沖區溢出、代碼注入和未經驗證的用戶輸入。 閱讀我們的服務器強化指南， 并 投資一個工具來監控意外數據泄露。
• 保護數據庫并清理用戶輸入： 數據庫是有吸引力的目標，因為許多 Web 應用程序將 敏感數據存儲 在數據庫中，包括登錄憑據、用戶數據和支付方式。一次 SQL 注入可以讓攻擊者訪問所有這些信息，并允許他們發起額外的 網絡攻擊。糟糕的 配置管理 會導致 數據泄露 ，這就是為什么對 靜態 和傳輸中的數據 進行加密很重要的原因。

并非所有的權限提升都依賴于用戶帳戶，可以通過利用應用程序操作系統和 配置管理中的漏洞來獲得管理員權限，通過以下方式最小化您的攻擊面：

• 保持系統和應用程序更新： 許多攻擊 利用CVE中 列出的 已知 漏洞。通過保持一致的修補節奏，您可以最大限度地減少這種 網絡安全風險。
• 確保文件、目錄和 Web 服務器的權限正確： 遵循 最小權限原則，檢查 S3 安全設置 ，確保只有需要訪問的人才能訪問。
• 關閉不必要的端口并刪除未使用的帳戶：默認系統配置通常包括在開放端口上運行的不必要服務和任意代碼，每一個都是潛在的 攻擊向量。刪除默認和未使用的帳戶，以避免攻擊者和前雇員訪問敏感系統。
• 避免使用默認登錄憑據：這似乎很明顯，但許多組織未能更改其設備（例如打印機、路由器和物聯網設備）上的默認登錄憑據。無論您的 網絡安全性有多安全 ，一臺路由器使用默認的管理員/密碼登錄憑據可能足以讓攻擊者入侵。
• 刪除或限制文件傳輸功能： FTP、TFPT、wget、curl等文件傳輸功能是下載和執行惡意代碼或惡意可寫的常用方式。考慮刪除這些工具或將它們的使用限制在特定目錄、用戶和應用程序中。

請記住 ，信息風險管理 和 信息安全政策 不能止步于您的組織：

• 監控您的第三方和第四方供應商： 攻擊者可以利用您的供應商訪問您的組織。這就是為什么 供應商風險管理 是防止特權升級攻擊的基本部分。請記住，供應商風險管理是 FISMA、 GLBA、 PIPEDA 和 NIST 網絡安全框架的監管要求。
• 避開網絡安全性較差的供應商： 詢問供應商的SOC 2報告和信息安全政策。
• 使您的供應商風險管理現代化： 開發 風險評估方法、 第三方風險管理框架 和 供應商管理政策。考慮使用已建立的 供應商風險評估問卷模板 ，您可以使用該模板來了解供應商的安全狀況。
• 自動化供應商風險管理： 投資一種工具，該工具可以 根據 50 多個標準對供應商的安全狀況進行評級 ，并為其分配 安全評級。這可以大大降低您的第三方風險和第四方風險。

如果您想了解您組織的外部安全狀況， 請使用我們的免費安全掃描程序查看您的外部攻擊面。