Header Navigation - DE
Background image for Wie lassen sich Angriffe zur Rechteausweitung verhindern?
Cybersecurity 101/Intelligente Bedrohung/Verhinderung von Angriffen zur Eskalation von Privilegien

Wie lassen sich Angriffe zur Rechteausweitung verhindern?

Die Eskalation von Privilegien und die Kontrolle über andere Konten und Netzwerke ist einer der ersten Schritte von Angreifern, um Ihr Unternehmen anzugreifen. In unserem Leitfaden erfahren Sie, wie Sie Angriffe zur Eskalation von Privilegien verhindern können.

Autor: SentinelOne

Wenn Sie sich nicht auf Ihre Identitäts- und Zugriffskontrollen konzentrieren, ist es unvermeidlich, dass Sie irgendwann Opfer eines Angriffs zur Ausweitung von Privilegien werden. Böswillige Akteure gehen heutzutage auf sehr unterschiedliche Weise vor. Alte Sicherheitslösungen wirken gegen sie nicht mehr, und sie können herkömmliche Sicherheitsmaßnahmen leicht umgehen. Eine starke Datenschutzstrategie und die Ausarbeitung von Maßnahmen auf dieser Grundlage sind der erste Schritt, um zu lernen, wie man Angriffe zur Ausnutzung von Privilegien verhindert. Nicht-personenbezogene Identitäten können Dienstprinzipien, Rollen, Zugriffsschlüssel, Funktionen usw. übernehmen. Sobald der Angreifer die Grundlagen geschaffen hat, kann er Identitäten, Daten und Berechtigungen ausnutzen.

Angreifer können Tage, Wochen und Monate in Ihrer Umgebung verbringen, ohne dass Sie dies bemerken. Sie können Ihre sensiblen Daten offenlegen oder weitergeben, und wenn sie einen Datenverstoß verursachen, ist es zu spät, bis ein Drittanbieter Sie darüber informiert.

In diesem Leitfaden erfahren Sie, wie Sie Angriffe zur Ausnutzung von Privilegien verhindern und wie Sie damit umgehen können.

Wie man Angriffe zur Ausweitung von Berechtigungen verhindert – Ausgewähltes Bild | SentinelOne

Was sind Angriffe zur Ausweitung von Berechtigungen?

Im einfachsten Sinne handelt es sich bei einem Angriff zur Rechteausweitung um einen Fall, in dem ein Angreifer die Rechte eines Kontos ausweitet.

Dies geschieht, wenn ein Angreifer sich unbefugten Zugriff und Administratorrechte auf Ihre Systeme und Netzwerke verschafft. Er kann Sicherheitslücken ausnutzen, Identitätsberechtigungen ändern und sich selbst erweiterte Rechte und Fähigkeiten gewähren. Angreifer können sich lateral durch Ihre Netzwerke bewegen und Konten, Vermögenswerte und andere Ressourcen erheblich verändern.

Schließlich gelangen sie von begrenzten Berechtigungen zu einer vollständigen Kontrolle. Sie sind nicht mehr nur einfache Benutzer, sondern können ihre Konten zu erweiterten Benutzern mit zusätzlichen Rechten machen. Ein erfolgreicher Privilegienangriff kann seine Privilegienstufe eskalieren und mehr Kontrolle erlangen. Dadurch können neue Angriffsvektoren eröffnet, alle Personen im Netzwerk ins Visier genommen und Angriffe weiterentwickelt werden, von Malware-Infektionen bis hin zu groß angelegten Datenverletzungen und Netzwerk-Einbrüchen.

Wie funktionieren Angriffe zur Eskalation von Berechtigungen?

Ein Angriff zur Eskalation von Berechtigungen kann durch die Übernahme einer Identität mit niedrigen Berechtigungen und die Ausnutzung von Berechtigungen erfolgen. Der Angreifer bewegt sich lateral durch Ihre Umgebung und erlangt zusätzliche Berechtigungen, mit denen er irreparable Schäden verursachen kann. Viele Unternehmen vernachlässigen die Grundlagen der Cloud-Sicherheit und hinterlassen Lücken, die sie nicht bemerken. Unternehmen haben außerdem Schwierigkeiten, in komplexen Cloud-Umgebungen einen Überblick über ihre internen Benutzer, Identitäten und Berechtigungen zu gewinnen.

Ein Privilegieneskalationsangriff funktioniert, indem versucht wird, Ihr Konto und Ihre bestehenden Berechtigungen zu übernehmen. Dies kann von Gastberechtigungen, die nur auf lokale Anmeldungen beschränkt sind, bis hin zu Administrator- und Root-Berechtigungen für Remote-Sitzungen reichen. Angriffe zur Rechteausweitung nutzen Methoden wie das Ausnutzen von Benutzeranmeldedaten, das Ausnutzen von Systemschwachstellen, Fehlkonfigurationen, die Installation von Malware und sogar Social Engineering. Angreifer verschaffen sich Zugang zur Umgebung, suchen nach fehlenden Sicherheitspatches und nutzen Techniken wie einfaches Passwort-Stuffing und generative KI, um Schwachstellen in der Organisation zu finden. Sobald sie einen Weg gefunden haben, infiltrieren sie das System und führen über einen längeren Zeitraum Überwachungsmaßnahmen durch. Sobald sich die richtige Gelegenheit bietet, starten sie einen groß angelegten Angriff. Wenn sie unentdeckt bleiben, können sie auch die Spuren ihrer Aktivitäten beseitigen. Dazu löschen sie beispielsweise Protokolle auf Basis von Benutzeranmeldedaten, maskieren Quell-IP-Adressen und beseitigen alle Hinweise, die auf eine Kompromittierung hindeuten könnten.

Standardmethoden bei Angriffen zur Rechteausweitung

Es gibt verschiedene Arten von Angriffen zur Rechteausweitung. Diese sind wie folgt:

1. Horizontale Privilegienerweiterung

Hier kann der Angreifer seine Privilegien erweitern, indem er ein anderes Konto kontrolliert und dessen ursprüngliche Privilegien missbraucht. Er kann alle dem vorherigen Benutzer gewährten Privilegien übernehmen und von dort aus weiter vorgehen. Eine horizontale Privilegienerweiterung findet auch statt, wenn ein Angreifer Zugriff auf derselben Berechtigungsstufe wie andere Benutzer erhält, jedoch andere Benutzeridentitäten verwendet. Ein Angreifer, der die gestohlenen Anmeldedaten eines Mitarbeiters verwendet, kann als horizontaler Privilegienerweiterer klassifiziert werden.

Das Ziel dieses Angriffs ist nicht, Root-Rechte zu erlangen, sondern auf sensible Daten anderer Benutzer mit derselben oder einer ähnlichen Berechtigungsstufe zuzugreifen. Horizontale Privilegieneskalationsangriffe nutzen schwache Sicherheitspraktiken auf ähnlichen Berechtigungs- oder Zugriffsebenen aus.

2. Vertikale Privilegienerweiterung

Dies ist eine fortgeschrittenere Form der Privilegienerweiterung, bei der der Angreifer versucht, sich über ein Standardbenutzerkonto Zugang zu verschaffen und dieses zu erweitern. Er erweitert seine Standardprivilegien auf höhere Privilegien, beispielsweise von einem einfachen Benutzer zu einem Superuser oder Administrator. Dadurch erhält er uneingeschränkte Kontrolle über Netzwerke und Systeme. Mit der Zeit erhält er vollständigen Zugriff auf die Systeme und kann Konfigurationen ändern, Software installieren, neue Konten erstellen und andere sperren oder auf eine Denylist setzen. Er kann sogar Daten aus dem Unternehmen löschen.

Wie lassen sich Versuche der Privilegienerweiterung erkennen?

Sie können Angriffe zur Rechteausweitung auf folgende Weise erkennen:

  • Beobachten Sie, wie Ihre Mitarbeiter täglich miteinander umgehen. Wenn Sie den Verdacht haben, dass etwas faul ist, und Ihre Mitarbeiter plötzlich eine negative Einstellung an den Tag legen, ist dies ein Zeichen dafür, dass ein Angriff zur Rechteausweitung im Gange ist. Denken Sie daran, dass nicht alle Angriffe zur Rechteausweitung gleich sind. Wir besprechen hier daher solche, die auf Social Engineering basieren. Ein Mitarbeiter mit einem Groll kann seinen autorisierten Zugriff nutzen, um illegale Aktivitäten in Ihrer gesamten Infrastruktur durchzuführen.
  • Überprüfen Sie ungewöhnliche Anmeldeaktivitäten und sehen Sie nach, ob zum ersten Mal mit Konten mit geringen Rechten auf Dateien oder Anwendungen zugegriffen wurde. Wenn Ihre Zugriffstoken manipuliert wurden und Sie Anzeichen dafür sehen, seien Sie vorsichtig.
  • Achten Sie auf SID-History-Injection- und Process-Injection-Angriffe. DC-Sync-Starts und Shadow-Angriffe deuten ebenfalls auf Angriffe zur Erweiterung von Berechtigungen hin.
  • Jede unbefugte Änderung an Diensten, die nur mit Administratorrechten ausgeführt werden dürfen, ist ein typischer Indikator für Angriffe zur Rechteausweitung.
  • Andere Systemereignisse, wie plötzliche Anwendungsabstürze oder Systemabschaltungen, Anwendungsfehlfunktionen oder Angreifer, die Ihren Kernel und Ihr Betriebssystem manipulieren, führen letztendlich zu Angriffen zur Rechteausweitung.

Bewährte Verfahren zur Verhinderung von Angriffen zur Rechteausweitung

Hier sind die bewährten Verfahren, mit denen Sie Angriffe zur Rechteausweitung verhindern können:

  • Eine der besten Möglichkeiten, um Angriffe zur Rechteausweitung zu verhindern, besteht darin, das Prinzip des geringstmöglichen Zugriffs zu verstehen und anzuwenden. Dieses Konzept der Cybersicherheit ermöglicht eingeschränkte Zugriffsrechte für alle Benutzer. Das bedeutet, dass sie nur die Rechte erhalten, die sie für ihre Arbeit benötigen und die dafür unbedingt erforderlich sind.
  • Das Prinzip des geringstmöglichen Zugriffs stellt sicher, dass Ihre täglichen Abläufe nicht beeinträchtigt oder verlangsamt werden. Außerdem schützt es Ihre Systemressourcen vor verschiedenen Bedrohungen. Sie können Zugriffskontrollen verwenden, Sicherheitsrichtlinien implementieren und sicherstellen, dass Ihr IT-Team kontrolliert, welche Anwendungen als lokale Administratoren ausgeführt werden, ohne den Benutzern lokale Administratorrechte zu gewähren.
  • Der zweite Schritt zur Verhinderung von Angriffen auf privilegierte Zugriffe besteht darin, Ihre Software auf dem neuesten Stand zu halten. Wenn Sie Schwachstellen entdecken, sollten Sie diese sofort in allen Ihren Betriebssystemen beheben. Führen Sie regelmäßig Schwachstellenscans durch und identifizieren Sie Exploits, bevor Hacker sie ausnutzen können.
  • Überwachen Sie Ihre Systemaktivitäten, um sicherzustellen, dass sich keine böswilligen Akteure in Ihrem Netzwerk verstecken. Wenn Sie während der Sicherheitsüberprüfungen verdächtige Anomalien oder Verhaltensweisen feststellen, ist dies ein deutliches Anzeichen.
  • Ring-Fencing ist eine weit verbreitete Technik, mit der Unternehmen die Funktionen von Anwendungen einschränken, unabhängig davon, ob diese mit anderen Anwendungen, Dateien, Daten oder Benutzern interagieren. Es handelt sich um eine Barriere, die verhindert, dass Anwendungen die Grenzen des Unternehmens überschreiten.
  • Sensibilisieren Sie Ihre Mitarbeiter außerdem für die Bedeutung von Sicherheitsbewusstsein. Stellen Sie sicher, dass sie Anzeichen von Social-Engineering-Malware und Phishing erkennen können. Sensibilisierung ist eine der besten Strategien zur Verhinderung von Privilegieneskalationsangriffen. Sie ist besonders wirksam im Kampf gegen Hacker.
  • Wenden Sie einen Zero-Trust-Ansatz für Cybersicherheit an, indem Sie eine Zero-Trust-Netzwerksicherheitsarchitektur aufbauen. Vertrauen Sie niemandem. Überprüfen Sie immer alles.
  • Verwenden Sie KI-basierte Technologien zur Erkennung von Bedrohungen, um Scans im Hintergrund durchzuführen, wenn niemand sonst darauf achtet. Wenn Menschen Sicherheitslücken übersehen, werden diese von Automatisierungstools aufgedeckt.

Verbessern Sie Ihre Threat Intelligence

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Beispiele für Privilegieneskalationsangriffe aus der Praxis

Bei einem kürzlich erfolgten Privilegieneskalationsangriff wurde ein von Microsoft signierter Treiber verwendet. Die Angreifer nutzten eine Schwachstelle im Paragon-Partitionsmanager für ein Bring-your-own-vulnerable-driver-Programm aus. Diese Zero-Day-Sicherheitslücke war an einem Ransomware-Angriff beteiligt, der es Angreifern ermöglichte, Systeme zu kompromittieren und der Erkennung zu entgehen. CVE-2025-0289 war eine unsichere Kernel-Ressourcenzugriffsschwachstelle, die zur Eskalation von Berechtigungen genutzt wurde.

Sie führte Denial-of-Service-Angriffe auf Zielgeräte durch. Das CERT Coordination Center warnte, dass diese Schwachstelle auf Windows-Geräten genutzt werden könnte, selbst wenn der Paragon-Partitionsmanager nicht installiert war.

Die Ransomware-Variante wurde nicht bekannt gegeben, und Microsoft konnte sich nicht zu dieser Aktivität äußern oder weitere Informationen dazu geben. Das Unternehmen lehnte es ab, Antworten zu geben. Es ist üblich, dass Ransomware-Gruppen anfällige Treiber ausnutzen und Endpunkt-Erkennungs- und Reaktionsmechanismen umgehen.

Kubernetes-Privilegienangriffe sind eine weitere Art von Privilegieneskalationsangriffen, die über Cluster hinweg stattfinden. Sie zielen auf Container ab und missbrauchen Systemports innerhalb von Angriffsketten.

Sobald Angreifer Zugriff auf höhere Privilegien erhalten haben, können sie Schwachstellen und Fehlkonfigurationen ausnutzen und zu freizügige rollenbasierte Zugriffskontrollrichtlinien missbrauchen. Sie können kritische Dienste stören, bösartige Workloads bereitstellen und die vollständige Kontrolle über den gesamten Kubernetes-Cluster erlangen.

Fazit

Die Verhinderung von Privilegieneskalationsangriffen beginnt mit der Ergreifung der erforderlichen Sicherheitsmaßnahmen zur Durchsetzung strenger Zugriffskontrollen und der Durchführung regelmäßiger Sicherheitsaudits. Wenn Sie nicht wissen, was in Ihrem Unternehmen vor sich geht, kann es schwierig sein, festzustellen, wann eine laterale Bewegung stattfindet. Integrieren Sie die besten Programme zur Sensibilisierung für Sicherheitsfragen und zur Schulung und stellen Sie sicher, dass Ihre Mitarbeiter daran teilnehmen.

Vernachlässigen Sie nicht die Grundlagen, denn diese sind der Schlüssel zum Erlernen der Prävention von Privilegieneskalationsangriffen. Wenden Sie sich außerdem an Sicherheitsexperten wie SentinelOne, um zusätzliche Unterstützung zu erhalten.

"

FAQs

Ein Privilegieneskalationsangriff liegt vor, wenn eine Person mehr Zugriffsrechte erhält, als sie bereits hat, und dadurch mehr Kontrolle über ein System oder Netzwerk erlangt. Das ist so, als würde man einen Schlüssel für einen Ort erhalten, an dem man sich nicht aufhalten sollte, und diesen dann verwenden, um weitere Türen zu öffnen.

Angreifer verschaffen sich höhere Privilegien, indem sie Schwachstellen im System oder kompromittierte Anmeldedaten ausnutzen. Sie entdecken möglicherweise eine Schwachstelle in der Software oder manipulieren jemanden, damit dieser ihnen Zugriff gewährt. Dann können sie sich frei bewegen und mehr Berechtigungen erwerben, in der Regel ohne bemerkt zu werden.

Angriffe zur Rechteausweitung können verhindert werden, indem die Möglichkeiten der Benutzer eingeschränkt werden. Das heißt, den Mitarbeitern nur die Zugriffsrechte zu gewähren, die sie zur Erfüllung ihrer Aufgaben benötigen.

Es ist auch ratsam, die Software auf dem neuesten Stand zu halten und die Mitarbeiter in Sicherheitsfragen zu schulen. Die Überwachung auf verdächtiges Verhalten ist ebenfalls eine Option, die Sie nutzen können.

Endpunktsicherheit verhindert die Ausweitung von Berechtigungen, indem sie einzelne Geräte wie Computer und Smartphones schützt. Sie kann Angriffe erkennen und stoppen, bevor sie sich ausbreiten. Dies ist wichtig, da Angreifer in der Regel zunächst einen einzelnen Endpunkt ins Visier nehmen, um Zugang zu einem größeren Netzwerk zu erhalten.

Bei einem Angriff zur Ausweitung von Berechtigungen müssen Unternehmen sofort reagieren. Sie müssen die infizierten Bereiche unter Quarantäne stellen, Malware entfernen und Passwörter ändern. Sie müssen überprüfen, was passiert ist, damit es nicht wieder vorkommt. Sie können dazu Sicherheitstools verwenden.

Es gibt zwei Hauptarten von Angriffen zur Rechteausweitung: horizontale und vertikale. Bei horizontalen Angriffen werden die Rechte eines Benutzers auf gleicher Ebene übernommen. Vertikale Angriffe umfassen den Wechsel von einem normalen Benutzer zu einem Superuser oder Administrator mit größerem Zugriff auf Netzwerke und Systeme.

Erfahren Sie mehr über Intelligente Bedrohung

Was sind Darknets und Dark Markets?Intelligente Bedrohung

Was sind Darknets und Dark Markets?

Darknets und Dark Markets erleichtern illegale Aktivitäten im Internet. Erfahren Sie, wie sie funktionieren und welche Auswirkungen sie auf die Cybersicherheit haben.

Mehr lesen
Wie lassen sich Social-Engineering-Angriffe verhindern?Intelligente Bedrohung

Wie lassen sich Social-Engineering-Angriffe verhindern?

Fallen Sie nicht auf die neuesten Scareware-, Spamware- und Betrugsmaschen herein. Informieren Sie sich darüber, wie Sie Social-Engineering-Angriffe verhindern können, wie diese funktionieren, und ergreifen Sie Maßnahmen, um Bedrohungen zu bekämpfen und zu isolieren.

Mehr lesen
Wie kann man Datenexfiltration verhindern?Intelligente Bedrohung

Wie kann man Datenexfiltration verhindern?

Datenexfiltration ist eine der schlimmsten Möglichkeiten, wie Sie dem Geschäft und dem Ruf Ihres Unternehmens schaden können. Verstehen Sie, wie Sie Datenexfiltration verhindern können, wie sie zustande kommt und wie Sie damit umgehen können.

Mehr lesen
Wie lassen sich Advanced Persistent Threats (APTs) verhindern?Intelligente Bedrohung

Wie lassen sich Advanced Persistent Threats (APTs) verhindern?

Sichern Sie Ihr Unternehmen noch heute, indem Sie lernen, wie Sie die Entwicklung fortgeschrittener, hartnäckiger Bedrohungen verhindern können. Erkennen Sie Infektionen und beheben Sie sie, bevor sie eskalieren.

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern