Se non ti concentri sui controlli di identità e accesso, è inevitabile che prima o poi sarai vittima di un attacco di escalation dei privilegi. Oggigiorno i malintenzionati agiscono in modi molto diversi. Le vecchie soluzioni di sicurezza non funzionano contro di loro e possono facilmente aggirare le misure di sicurezza tradizionali. Avere una solida strategia di protezione dei dati e lavorare partendo da lì è il primo passo per imparare a prevenire gli attacchi di escalation dei privilegi. Le identità non personali possono assumere principi di servizio, ruoli, chiavi di accesso, funzioni, ecc. Una volta gettate le basi, gli aggressori possono sfruttare identità, dati e autorizzazioni.
Gli autori delle minacce possono trascorrere giorni, settimane e mesi all'interno del vostro ambiente senza che ve ne accorgiate. Possono esporre o divulgare i vostri dati sensibili e, quando causano una violazione dei dati, quando un fornitore di servizi terzo vi informa, è troppo tardi.
In questa guida imparerete come prevenire gli attacchi di escalation dei privilegi e vedrete come affrontarli.
Cosa sono gli attacchi di escalation dei privilegi?
In senso stretto, un attacco di escalation dei privilegi si verifica quando un avversario aumenta i privilegi di un account.
Ciò accade quando un autore di minacce ottiene l'accesso autorizzato e i diritti amministrativi sui sistemi e sulle reti. Può sfruttare le vulnerabilità di sicurezza, modificare le autorizzazioni di identità e concedersi diritti e capacità maggiori. Gli aggressori possono muoversi lateralmente attraverso le reti e modificare in modo significativo account, risorse e altre risorse.
Alla fine, passano da permessi limitati ad avere un senso di controllo completo. Vanno oltre il diventare utenti di base e possono trasformare i loro account in utenti avanzati con diritti aggiuntivi. Un attacco di privilegio riuscito può aumentare il suo livello di privilegio e ottenere un maggiore controllo. Può aprire nuovi vettori di attacco, prendere di mira tutti gli utenti della rete ed evolvere gli attacchi, dalle infezioni da malware alle violazioni di dati su larga scala e alle intrusioni nella rete.
Come funzionano gli attacchi di escalation dei privilegi?
Un attacco di escalation dei privilegi può verificarsi adottando un'identità di basso livello e sfruttando le autorizzazioni. L'aggressore si muove lateralmente attraverso il vostro ambiente e ottiene autorizzazioni aggiuntive che gli consentono di causare danni irreparabili. Molte organizzazioni trascurano le nozioni di base sulla sicurezza del cloud, lasciando lacune di cui non si accorgono. Le aziende hanno anche difficoltà a ottenere visibilità sui propri utenti interni, identità e autorizzazioni in ambienti cloud complessi.
Un attacco di escalation dei privilegi funziona tentando di assumere il controllo del tuo account e dei privilegi esistenti. Può variare da privilegi guest limitati solo agli accessi locali, a privilegi di amministratore e root per sessioni remote. Gli attacchi di escalation dei privilegi utilizzano metodi come lo sfruttamento delle credenziali degli utenti, l'approfittare delle vulnerabilità del sistema, configurazioni errate, l'installazione di malware e persino ingegneria sociale. Gli aggressori ottengono l'accesso all'ambiente, cercano le patch di sicurezza mancanti e utilizzano tecniche come il basic password stuffing e l'intelligenza artificiale generativa per individuare le falle dell'organizzazione. Una volta trovato un modo per infiltrarsi, eseguono una sorveglianza per un periodo prolungato.
Quando si presenta l'occasione giusta, lanciano un attacco più ampio. Possono anche cancellare le tracce delle loro attività quando non vengono rilevati. Alcuni dei metodi che utilizzano consistono nell'eliminare i log basati sulle credenziali degli utenti, mascherare gli indirizzi IP di origine ed eliminare qualsiasi prova che possa indicare la presenza di indicatori di compromissione.
Metodi standard utilizzati negli attacchi di escalation dei privilegi
Esistono diversi tipi di attacchi di escalation dei privilegi. Essi sono i seguenti:
1. Escalation orizzontale dei privilegi
In questo caso l'aggressore può evolvere i propri privilegi controllando un altro account e abusando dei suoi privilegi originali. Può assumere il controllo di qualsiasi privilegio concesso all'utente precedente e progredire da lì. L'escalation orizzontale dei privilegi si verifica anche quando un aggressore riesce ad accedere allo stesso livello di autorizzazione di altri utenti, ma utilizza identità utente diverse. Un aggressore che utilizza le credenziali rubate a un dipendente può essere classificato come un escalatore di privilegi orizzontale.
L'obiettivo di questo attacco non è ottenere privilegi di root, ma accedere a dati sensibili appartenenti ad altri utenti con livelli di privilegio uguali o simili. Gli attacchi di escalation orizzontale dei privilegi sfruttano pratiche di sicurezza deboli su livelli di privilegio o autorizzazione simili.
2. Escalation verticale dei privilegi
Si tratta di una forma più avanzata di escalation dei privilegi in cui l'autore dell'attacco cerca di ottenere l'accesso da un account utente standard e tenta di aggiornarlo. Evolveranno i loro privilegi standard in privilegi di livello superiore, passando ad esempio da utente base a superutente o amministratore. Ciò consentirà loro di ottenere il controllo illimitato su reti e sistemi. Nel tempo, otterranno l'accesso completo ai sistemi e saranno in grado di modificare le configurazioni, installare software, creare nuovi account e bandire o inserire altri nella lista dei blocchi. Potranno persino cancellare i dati dell'organizzazione.
Come rilevare i tentativi di escalation dei privilegi?
È possibile rilevare gli attacchi di escalation dei privilegi nei seguenti modi:
- Osservate come i vostri dipendenti interagiscono tra loro quotidianamente. Se sospettate che stia succedendo qualcosa di strano e improvvisamente assumono un atteggiamento negativo, è segno che è in corso un attacco di escalation dei privilegi. Ricordate che non tutti gli attacchi di escalation dei privilegi sono uguali, quindi qui discuteremo di quelli basati sul social engineering. Un dipendente che nutre rancore può utilizzare il proprio accesso autorizzato per svolgere attività illegali nell'intera infrastruttura.
- Verificate la presenza di attività di accesso insolite e controllate se alcuni file o applicazioni sono stati consultati per la prima volta da account con privilegi bassi. Se i vostri token di accesso sono stati manipolati e notate alcuni segnali, prestate attenzione.
- Cercate attacchi di iniezione della cronologia SID e di iniezione di processi. Anche l'avvio della sincronizzazione DC e gli attacchi shadow indicano attacchi di escalation dei privilegi.
- Qualsiasi modifica non autorizzata ai servizi autorizzati a funzionare solo con privilegi di livello amministrativo è un indicatore standard di attacchi di escalation dei privilegi.
- Altri eventi di sistema, come arresti improvvisi delle applicazioni o spegnimenti del sistema, malfunzionamenti delle applicazioni o attori di minacce che manomettono il kernel e il sistema operativo, portano alla fine ad attacchi di escalation dei privilegi.
Best practice per prevenire gli attacchi di escalation dei privilegi
Ecco le migliori pratiche che è possibile utilizzare per prevenire gli attacchi di escalation dei privilegi:
- Uno dei modi migliori per prevenire gli attacchi di escalation dei privilegi è comprendere e applicare il principio dell'accesso con privilegi minimi. Questo concetto di sicurezza informatica consente di limitare i diritti di accesso per tutti gli utenti. Ciò significa che essi ottengono solo i diritti necessari e quelli strettamente richiesti per il loro lavoro.
- Il principio dell'accesso con privilegi minimi garantirà che le operazioni quotidiane non vengano influenzate o rallentate. Inoltre, protegge le risorse di sistema da varie minacce. È possibile utilizzare controlli di accesso, implementare politiche di sicurezza e garantire che il team IT controlli quali applicazioni vengono eseguite come amministratori locali senza concedere agli utenti diritti di amministratore locale.
- Il secondo passo per prevenire gli attacchi di accesso privilegiato è mantenere aggiornato il software. Se si rilevano difetti, applicare immediatamente le patch alle vulnerabilità su tutti i sistemi operativi. Eseguire regolarmente scansioni delle vulnerabilità e identificare gli exploit prima che gli hacker ne approfittino.
- Monitorare le attività del sistema per assicurarsi che non ci siano malintenzionati in agguato nella rete. Se si rilevano anomalie o comportamenti sospetti durante gli ordini di sicurezza, si tratta di un segnale rivelatore.
- Il ring-fencing è una tecnica ampiamente utilizzata dalle organizzazioni per limitare le funzionalità delle app, sia che interagiscano con altre app, file, dati o utenti. Si tratta di una barriera che impedisce alle applicazioni di uscire dai confini dell'organizzazione.
- Inoltre, istruisci i tuoi dipendenti sull'importanza della consapevolezza in materia di sicurezza. Assicuratevi che siano in grado di riconoscere i segnali di malware di social engineering e phishing. La consapevolezza è una delle migliori strategie per prevenire gli attacchi di escalation dei privilegi. È la soluzione più efficace nella lotta contro gli hacker.
- Applicate un approccio zero-trust alla sicurezza informatica creando un'architettura di sicurezza di rete zero-trust. Non fidatevi di nessuno. Verifica sempre.
- Utilizza tecnologie di rilevamento delle minacce basate sull'intelligenza artificiale per eseguire scansioni in background quando nessuno presta attenzione. Se gli esseri umani non individuano eventuali falle nella sicurezza, gli strumenti di automazione le rileveranno.
Migliorare l'intelligence sulle minacce
Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.
Per saperne di piùEsempi reali di attacchi di escalation dei privilegi
Un driver firmato da Microsoft è stato utilizzato in un recente attacco di escalation dei privilegi. Gli autori dell'attacco hanno sfruttato una falla nel gestore di partizioni Paragon per un programma "bring-your-own-vulnerable-driver" (porta il tuo driver vulnerabile). Questa vulnerabilità zero-day è stata coinvolta in un attacco ransomware, consentendo agli aggressori di compromettere i sistemi ed eludere il rilevamento. CVE-2025-0289 era una vulnerabilità di accesso alle risorse del kernel non sicura utilizzata per elevare i privilegi.
Ha eseguito attacchi denial-of-service sui dispositivi presi di mira. Il CERT Coordination Center ha avvertito che questa vulnerabilità poteva essere utilizzata sui dispositivi Windows, anche se il gestore di partizioni Paragon non era installato.
La variante del ransomware non è stata rivelata e Microsoft non ha potuto commentare l'attività né sfruttarla ulteriormente. Si sono rifiutati di fornire qualsiasi risposta. È comune che le bande di ransomware sfruttino driver vulnerabili e aggirino i meccanismi di rilevamento e risposta degli endpoint.
Gli attacchi di privilegio Kubernetes sono un altro tipo di attacco di escalation dei privilegi che si verifica tra i cluster. Prendono di mira i container e abusano delle porte di sistema all'interno delle catene di attacco.
Una volta che gli avversari ottengono l'accesso a privilegi di livello superiore, possono sfruttare vulnerabilità, configurazioni errate e abusare di politiche di controllo degli accessi basate sui ruoli troppo permissive. Possono interrompere servizi critici, distribuire carichi di lavoro dannosi e ottenere il controllo totale dell'intero cluster Kubernetes.
Conclusione
La prevenzione degli attacchi di escalation dei privilegi inizia con l'adozione delle misure di sicurezza necessarie per applicare controlli di accesso rigorosi e l'esecuzione di regolari audit di sicurezza. Se non si è a conoscenza di ciò che accade nella propria organizzazione, può essere difficile individuare con precisione quando si verifica un movimento laterale. Incorporate i migliori programmi di sensibilizzazione e formazione sulla sicurezza e assicuratevi che i vostri dipendenti vi partecipino.
Non trascurate le nozioni di base, perché sono fondamentali per imparare a prevenire gli attacchi di escalation dei privilegi. Inoltre, consultate esperti di sicurezza come SentinelOne per ulteriore assistenza.
"FAQs
Un attacco di escalation dei privilegi si verifica quando una persona ottiene più diritti di accesso di quelli che già possiede, consentendole di controllare una parte maggiore di un sistema o di una rete. È come ricevere la chiave di un luogo in cui non si dovrebbe entrare e poi usarla per aprire altre porte.
Gli aggressori acquisiscono privilegi più elevati sfruttando le debolezze del sistema o le credenziali compromesse. Possono scoprire una debolezza nel software o manipolare qualcuno affinché conceda loro l'accesso. Quindi, possono vagare e acquisire più autorità, di solito senza essere notati.
Gli attacchi di escalation dei privilegi possono essere prevenuti limitando ciò che un utente può fare. In altre parole, fornendo alle persone solo l'accesso necessario per completare i loro compiti.
Anche mantenere aggiornato il software e formare il personale sulla sicurezza è un'ottima idea. Un'altra opzione è quella di monitorare i comportamenti sospetti.
La sicurezza degli endpoint blocca l'escalation dei privilegi proteggendo i singoli dispositivi come computer e smartphone. È in grado di identificare e bloccare gli attacchi prima che si diffondano. Questo è importante perché gli aggressori in genere iniziano prendendo di mira un singolo endpoint per ottenere l'accesso a una rete più estesa.
In caso di attacco di escalation dei privilegi, le organizzazioni devono reagire immediatamente. Devono mettere in quarantena le aree infette, rimuovere il malware e modificare le password. È necessario esaminare ciò che è accaduto in modo che non si ripeta. È possibile utilizzare strumenti di sicurezza per facilitare questa operazione.
Esistono due tipi principali di attacchi di escalation dei privilegi: orizzontali e verticali. Gli attacchi orizzontali comportano l'acquisizione dei privilegi di un utente di livello pari. Gli attacchi verticali includono il passaggio da utente normale a superutente o amministratore con maggiore accesso alle reti e ai sistemi.