Si vous ne vous concentrez pas sur vos contrôles d'identité et d'accès, vous serez inévitablement victime d'une attaque par élévation de privilèges à un moment ou à un autre. De nos jours, les acteurs malveillants opèrent de manière très différente. Les anciennes solutions de sécurité ne sont plus efficaces contre eux et ils peuvent facilement contourner les mesures de sécurité traditionnelles. Disposer d'une stratégie solide de protection des données et partir de là est la première étape pour apprendre à prévenir les attaques par élévation de privilèges. Les identités non humaines peuvent prendre en charge des principes de service, des rôles, des clés d'accès, des fonctions, etc. Une fois que l'attaquant a préparé le terrain, il peut exploiter les identités, les données et les autorisations.
Les acteurs malveillants peuvent passer des jours, des semaines, voire des mois dans votre environnement sans que vous ne vous en rendiez compte. Ils peuvent exposer ou divulguer vos données sensibles, et lorsqu'ils provoquent une violation de données, il est trop tard lorsque vous en êtes informé par un fournisseur de services tiers.
Dans ce guide, vous apprendrez comment prévenir les attaques par élévation de privilèges et comment y remédier.
Que sont les attaques par élévation de privilèges ?
Dans son sens le plus simple, une attaque par élévation de privilèges consiste pour un adversaire à élever les privilèges d'un compte.
Cela se produit lorsqu'un acteur malveillant obtient un accès autorisé et des droits d'administration sur vos systèmes et réseaux. Il peut alors exploiter des vulnérabilités de sécurité, modifier les autorisations d'identité et s'octroyer des droits et des capacités accrus. Les attaquants peuvent se déplacer latéralement à travers vos réseaux et modifier considérablement les comptes, les actifs et d'autres ressources.
Finalement, ils passent d'autorisations limitées à un sentiment de contrôle total. Ils dépassent le statut d'utilisateurs de base et peuvent transformer leurs comptes en utilisateurs avancés dotés de droits supplémentaires. Une attaque de privilèges réussie peut augmenter son niveau de privilège et obtenir un contrôle accru. Elle peut ouvrir de nouveaux vecteurs d'attaque, cibler tous les utilisateurs du réseau et faire évoluer les attaques, passant d'infections par des logiciels malveillants à des violations de données à grande échelle et des intrusions dans le réseau.
Comment fonctionnent les attaques par élévation de privilèges ?
Une attaque par élévation de privilèges peut se produire en adoptant une identité de bas niveau et en exploitant les autorisations. L'attaquant se déplace latéralement dans votre environnement et obtient des autorisations supplémentaires qui lui permettent de causer des dommages irréparables. De nombreuses organisations négligent les principes de base de la sécurité dans le cloud, laissant ainsi des failles qu'elles ne remarquent pas. Les entreprises ont également du mal à obtenir une visibilité sur leurs utilisateurs internes, leurs identités et leurs autorisations dans des environnements cloud complexes.
Une attaque par élévation de privilèges consiste à tenter de prendre le contrôle de votre compte et de vos privilèges existants. Elle peut aller de privilèges d'invité limités aux connexions locales uniquement, à des privilèges d'administrateur et à l'obtention de privilèges root pour les sessions à distance. Les attaques par élévation de privilèges utilisent des méthodes telles que l'exploitation des identifiants des utilisateurs, l'exploitation des vulnérabilités du système, les mauvaises configurations, l'installation de malware, et même l'ingénierie sociale. Les pirates pénètrent dans l'environnement, recherchent les correctifs de sécurité manquants et utilisent des techniques telles que le remplissage de mots de passe basiques et l'IA générative pour trouver les failles de l'organisation. Une fois qu'ils ont trouvé un moyen d'infiltrer le système, ils surveillent celui-ci pendant une longue période.
Dès qu'ils en ont l'occasion, ils lancent une attaque à plus grande échelle. Ils peuvent également effacer les traces de leurs activités lorsqu'ils ne sont pas détectés. Pour ce faire, ils suppriment notamment les journaux basés sur les identifiants des utilisateurs, masquent les adresses IP sources et éliminent toute preuve pouvant indiquer la présence d'indicateurs de compromission.
Méthodes standard utilisées dans les attaques par élévation de privilèges
Il existe différents types d'attaques par élévation de privilèges. Les voici :
1. Élevage horizontal de privilèges
Dans ce cas, l'attaquant peut faire évoluer ses privilèges en contrôlant un autre compte et en abusant de ses privilèges d'origine. Il peut prendre le contrôle de tous les privilèges accordés à l'utilisateur précédent et progresser à partir de là. L'élevage horizontal de privilèges se produit également lorsqu'un attaquant peut accéder au même niveau d'autorisation que d'autres utilisateurs, mais utilise des identités d'utilisateurs différentes. Un attaquant qui utilise les identifiants volés d'un employé peut être classé comme un " escalateur de privilèges horizontaux ".
L'objectif de cette attaque n'est pas d'obtenir des privilèges root, mais d'accéder à des données sensibles appartenant à d'autres utilisateurs ayant des niveaux de privilèges identiques ou similaires. Les attaques par élévation de privilèges horizontale exploitent les faiblesses des pratiques de sécurité sur des niveaux de privilèges ou d'autorisations similaires.
2. Élévation de privilèges verticale
Il s'agit d'une forme plus avancée d'élévation de privilèges, dans laquelle l'attaquant tente d'accéder à un compte utilisateur standard et de le mettre à niveau. Il fait évoluer ses privilèges standard vers des privilèges de niveau supérieur, par exemple en passant d'utilisateur basique à super-utilisateur ou administrateur. Cela lui donne un contrôle illimité sur les réseaux et les systèmes. Au fil du temps, il obtient un accès complet aux systèmes et peut modifier les configurations, installer des logiciels, créer de nouveaux comptes et bannir ou mettre sur liste noire d'autres utilisateurs. Il peut même supprimer des données de l'organisation.
Comment détecter les tentatives d'escalade de privilèges ?
Vous pouvez détecter les attaques par escalade de privilèges de la manière suivante :
- Observez comment vos employés interagissent entre eux au quotidien. Si vous soupçonnez quelque chose de louche et qu'ils adoptent soudainement une attitude négative, c'est le signe qu'une attaque par élévation de privilèges est en cours. N'oubliez pas que toutes les attaques par élévation de privilèges ne sont pas identiques, c'est pourquoi nous abordons ici celles basées sur l'ingénierie sociale. Un employé qui nourrit de la rancœur peut utiliser son accès autorisé pour mener des activités illégales sur l'ensemble de votre infrastructure.
- Vérifiez s'il y a des activités de connexion inhabituelles et voyez si des fichiers ou des applications ont été consultés pour la première fois par des comptes disposant de privilèges limités. Si vos jetons d'accès ont été manipulés et que vous constatez certains signes, méfiez-vous.
- Recherchez les attaques par injection d'historique SID et par injection de processus. Les lancements de synchronisation DC et les attaques par ombre indiquent également des attaques par élévation de privilèges.
- Toute modification non autorisée des services autorisés à s'exécuter avec des privilèges de niveau administratif est un indicateur standard d'attaques par élévation de privilèges.
- D'autres événements système, tels que des plantages soudains d'applications ou des arrêts du système, des dysfonctionnements d'applications ou des acteurs malveillants qui altèrent votre noyau et votre système d'exploitation, peuvent également conduire à des attaques par élévation de privilèges.
Meilleures pratiques pour prévenir les attaques par élévation de privilèges
Voici les meilleures pratiques que vous pouvez utiliser pour prévenir les attaques par élévation de privilèges :
- L'un des meilleurs moyens de prévenir les attaques par élévation de privilèges consiste à comprendre et à appliquer le principe de l'accès avec les privilèges les plus restreints. Ce concept de cybersécurité permet de limiter les droits d'accès de tous les utilisateurs. Cela signifie qu'ils ne disposent que des droits nécessaires et strictement requis pour leur travail.
- Le principe de l'accès avec les privilèges les plus restreints garantit que vos opérations quotidiennes ne sont pas affectées ou ralenties. Il protège également les ressources de votre système contre diverses menaces. Vous pouvez utiliser des contrôles d'accès, mettre en œuvre des politiques de sécurité et vous assurer que votre équipe informatique contrôle les applications qu'elle exécute en tant qu'administrateurs locaux sans donner aux utilisateurs des droits d'administrateur local.
- La deuxième étape pour prévenir les attaques par accès privilégié consiste à maintenir vos logiciels à jour. Si vous détectez des failles, corrigez immédiatement les vulnérabilités sur tous vos systèmes d'exploitation. Effectuez régulièrement des analyses de vulnérabilité et identifiez les exploits avant que les pirates ne les exploitent.
- Surveillez les activités de votre système pour vous assurer qu'aucun acteur malveillant ne se cache dans votre réseau. Si vous détectez des anomalies ou des comportements suspects lors des contrôles de sécurité, c'est un signe révélateur.
- Le cloisonnement est une technique largement répandue que les organisations utilisent pour limiter les capacités des applications, qu'elles interagissent avec d'autres applications, des fichiers, des données ou des utilisateurs. Il s'agit d'une barrière qui empêche les applications de sortir des limites de l'organisation.
- Sensibilisez également vos employés à l'importance de la sécurité. Assurez-vous qu'ils sont capables de reconnaître les signes des logiciels malveillants d'ingénierie sociale et du phishing. La sensibilisation est l'une des meilleures stratégies pour prévenir les attaques par élévation de privilèges. Elle est particulièrement efficace dans la lutte contre les pirates informatiques.
- Appliquez une approche " zero trust " à la cybersécurité en mettant en place une architecture de sécurité réseau " zero trust. Ne faites confiance à personne. Vérifiez toujours.
- Utilisez des technologies de détection des menaces basées sur l'IA pour effectuer des analyses en arrière-plan lorsque personne d'autre n'y prête attention. Si les humains manquent des failles de sécurité, les outils d'automatisation les détecteront.
Améliorez votre veille sur les menaces
Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.
En savoir plusExemples concrets d'attaques par élévation de privilèges
Un pilote signé par Microsoft a été utilisé dans une récente attaque par élévation de privilèges. Les auteurs de la menace ont exploité une faille dans le gestionnaire de partitions Paragon pour mettre en place un programme permettant d'utiliser son propre pilote vulnérable. Cette vulnérabilité zero-day a été impliquée dans une attaque par ransomware, permettant aux attaquants de compromettre des systèmes et d'échapper à la détection. CVE-2025-0289 était une vulnérabilité d'accès aux ressources du noyau non sécurisée utilisée pour élever les privilèges.
Elle a exécuté des attaques par déni de service sur les appareils ciblés. Le CERT Coordination Center a averti que cette vulnérabilité pouvait être exploitée sur les appareils Windows, même si le gestionnaire de partition Paragon n'était pas installé.
La variante du ransomware n'a pas été révélée et Microsoft n'a pas pu commenter cette activité ni exploiter davantage. Ils ont refusé de donner des réponses. Il est courant que les groupes de ransomware exploitent les pilotes vulnérables et contournent les mécanismes de détection et de réponse des terminaux.
Les attaques de privilèges Kubernetes sont un autre type d'attaque par élévation de privilèges qui se produit à travers les clusters. Elles ciblent les conteneurs et exploitent les ports système dans les chaînes d'attaque.
Une fois que les adversaires ont accès à des privilèges de niveau supérieur, ils peuvent exploiter les vulnérabilités, les erreurs de configuration et abuser des politiques de contrôle d'accès basées sur les rôles trop permissives. Ils peuvent perturber des services critiques, déployer des charges de travail malveillantes et prendre le contrôle total de l'ensemble du cluster Kubernetes.Conclusion
La prévention des attaques par élévation de privilèges commence par la mise en place des mesures de sécurité nécessaires pour appliquer des contrôles d'accès stricts et effectuer des audits de sécurité réguliers. Si vous n'êtes pas au courant de ce qui se passe dans votre organisation, il peut être difficile de déterminer avec précision quand un mouvement latéral se produit. Intégrez les meilleurs programmes de sensibilisation et de formation à la sécurité et veillez à ce que vos employés y participent.
Ne négligez pas les bases, car elles sont essentielles pour apprendre à prévenir les attaques par élévation de privilèges. Consultez également des experts en sécurité tels que SentinelOne pour obtenir une aide supplémentaire.
"FAQs
Une attaque par élévation de privilèges se produit lorsqu'une personne obtient plus de droits d'accès qu'elle n'en possède déjà, ce qui lui permet de contrôler davantage un système ou un réseau. C'est comme recevoir la clé d'un endroit où vous n'avez pas le droit d'entrer, puis l'utiliser pour ouvrir d'autres portes.
Les pirates acquièrent des privilèges plus élevés en exploitant les faiblesses du système ou des identifiants compromis. Ils peuvent découvrir une faiblesse dans un logiciel ou manipuler quelqu'un pour qu'il leur donne accès. Ils peuvent alors se déplacer et acquérir plus d'autorité, généralement sans être remarqués.
Les attaques par élévation de privilèges peuvent être évitées en limitant les actions possibles des utilisateurs. En d'autres termes, il faut fournir aux personnes uniquement l'accès nécessaire à l'accomplissement de leurs tâches.
Il est également judicieux de maintenir les logiciels à jour et de former le personnel à la sécurité. La surveillance des comportements suspects est également une option que vous pouvez utiliser.
La sécurité des terminaux bloque l'escalade des privilèges en protégeant les appareils individuels tels que les ordinateurs et les smartphones. Elle permet d'identifier et de bloquer les attaques avant qu'elles ne se propagent. Cela est important, car les pirates commencent généralement par cibler un seul terminal afin d'accéder à un réseau plus étendu.
En cas d'attaque par élévation de privilèges, les organisations doivent réagir immédiatement. Elles doivent mettre en quarantaine les zones infectées, supprimer les logiciels malveillants et modifier les mots de passe. Vous devez analyser ce qui s'est passé afin que cela ne se reproduise plus. Vous pouvez utiliser des outils de sécurité pour vous aider.
Il existe deux principaux types d'attaques par élévation de privilèges : horizontales et verticales. Les attaques horizontales consistent à s'approprier les privilèges d'un utilisateur de niveau équivalent. Les attaques verticales consistent à passer d'un utilisateur normal à un super-utilisateur ou un administrateur disposant d'un accès plus étendu aux réseaux et aux systèmes.
