Als u geen aandacht besteedt aan uw identiteits- en toegangscontroles, is het onvermijdelijk dat u op een gegeven moment het slachtoffer wordt van een privilege-escalatieaanval. Kwaadwillenden gaan tegenwoordig op heel andere manieren te werk. Oude beveiligingsoplossingen werken niet tegen hen en ze kunnen traditionele beveiligingsmaatregelen gemakkelijk omzeilen. Het hebben van een sterke strategie voor gegevensbescherming en van daaruit verder werken is de eerste stap om te leren hoe u aanvallen met privilege-escalatie kunt voorkomen. Niet-persoonlijke identiteiten kunnen serviceprincipes, rollen, toegangssleutels, functies enz. aannemen. Zodra de aanvaller de basis heeft gelegd, kan hij profiteren van identiteiten, gegevens en machtigingen.
Kwaadwillende personen kunnen dagen, weken en maanden in uw omgeving doorbrengen zonder dat u daar iets van merkt. Ze kunnen uw gevoelige gegevens blootstellen of lekken, en tegen de tijd dat ze een datalek veroorzaken en een externe serviceprovider u hiervan op de hoogte stelt, is het al te laat.
In deze gids leert u hoe u geprivilegieerde escalatieaanvallen kunt voorkomen en hoe u ze kunt aanpakken.
Wat zijn privilege-escalatieaanvallen?
In de meest eenvoudige zin is een privilege-escalatieaanval een aanval waarbij een tegenstander accountprivileges escaleert.
Dit gebeurt wanneer een bedreigingsactor geautoriseerde toegang en beheerdersrechten krijgt over uw systemen en netwerken. Hij kan beveiligingslekken misbruiken, identiteitsrechten wijzigen en zichzelf meer rechten en mogelijkheden toekennen. Aanvallers kunnen zich lateraal door uw netwerken bewegen en accounts, activa en andere bronnen aanzienlijk wijzigen.
Uiteindelijk gaan ze van beperkte rechten naar een gevoel van volledige controle. Ze gaan verder dan basisgebruikers en kunnen hun accounts omzetten in geavanceerde gebruikers met extra rechten. Een succesvolle privilege-aanval kan het privilege-niveau escaleren en meer controle verkrijgen. Het kan nieuwe aanvalsvectoren openen, iedereen op het netwerk aanvallen en aanvallen ontwikkelen, van malware-infecties tot grootschalige datalekken en netwerkinbraken.
Hoe werken aanvallen met privilege-escalatie?
Een aanval met privilege-escalatie kan plaatsvinden door een identiteit op laag niveau aan te nemen en misbruik te maken van rechten. De aanvaller beweegt zich lateraal door uw omgeving en verkrijgt extra rechten waarmee hij onherstelbare schade kan aanrichten. Veel organisaties verwaarlozen de basisprincipes van cloudbeveiliging, waardoor er hiaten ontstaan die ze niet opmerken. Bedrijven hebben ook moeite om inzicht te krijgen in hun interne gebruikers, identiteiten en machtigingen in complexe cloudomgevingen.
Een privilege-escalatieaanval werkt door te proberen uw account en bestaande privileges over te nemen. Dit kan variëren van gastprivileges die beperkt zijn tot lokale aanmeldingen, tot beheerdersrechten en het verkrijgen van root-privileges voor externe sessies. Privilege-escalatieaanvallen maken gebruik van methoden zoals het misbruiken van gebruikersgegevens, het uitbuiten van systeemkwetsbaarheden, verkeerde configuraties, het installeren van malware en zelfs social engineering. Aanvallers dringen binnen in de omgeving, zoeken naar ontbrekende beveiligingspatches en gebruiken technieken zoals basic password stuffing en generatieve AI om organisatorische tekortkomingen te vinden. Zodra ze een manier hebben gevonden om binnen te dringen, infiltreren ze en voeren ze gedurende een langere periode surveillance uit.
Zodra ze de juiste gelegenheid hebben, lanceren ze een bredere aanval. Ze kunnen ook sporen van hun activiteiten wissen wanneer ze onopgemerkt blijven. Ze doen dit onder andere door logbestanden op basis van gebruikersgegevens te verwijderen, bron-IP-adressen te maskeren en elk bewijs te verwijderen dat zou kunnen wijzen op de aanwezigheid van compromitterende indicatoren.
Standaardmethoden die worden gebruikt bij aanvallen met privilege-escalatie
Er zijn verschillende soorten aanvallen met privilege-escalatie. Deze zijn als volgt:
1. Horizontale privilege-escalatie
Hierbij kan de aanvaller zijn privileges uitbreiden door een ander account te controleren en de oorspronkelijke privileges daarvan te misbruiken. Hij kan alle privileges overnemen die aan de vorige gebruiker zijn toegekend en van daaruit verdergaan. Horizontale privilege-escalatie vindt ook plaats wanneer een aanvaller toegang krijgt op hetzelfde machtigingsniveau als andere gebruikers, maar verschillende gebruikersidentiteiten gebruikt. Een aanvaller die gestolen inloggegevens van een werknemer gebruikt, kan worden geclassificeerd als een horizontale privilege-escalator.
Het doel van deze aanval is niet om rootrechten te verkrijgen, maar om toegang te krijgen tot gevoelige gegevens van andere gebruikers met hetzelfde of een vergelijkbaar privilege-niveau. Horizontale privilege-escalatie-aanvallen maken gebruik van zwakke beveiligingspraktijken op vergelijkbare privilege- of permissie-niveaus.
2. Verticale privilege-escalatie
Dit is een meer geavanceerde vorm van privilege-escalatie waarbij de aanvaller toegang probeert te krijgen via een standaardgebruikersaccount en vervolgens probeert dit account te upgraden. Ze breiden hun standaardprivileges uit naar privileges op een hoger niveau, bijvoorbeeld van een basisgebruiker naar een supergebruiker of een beheerder. Hierdoor krijgen ze onbeperkte controle over netwerken en systemen. Na verloop van tijd krijgt hij volledige toegang tot systemen en kan hij configuraties wijzigen, software installeren, nieuwe accounts aanmaken en anderen verbannen of op een zwarte lijst zetten. Hij kan zelfs gegevens van de organisatie verwijderen.
Hoe detecteer je pogingen tot privilege-escalatie?
U kunt aanvallen waarbij privileges worden opgewaardeerd op de volgende manieren detecteren:
- Observeer hoe uw werknemers dagelijks met elkaar omgaan. Als u vermoedt dat er iets vreemds aan de hand is en ze plotseling een negatieve houding aannemen, is dat een teken dat er een aanval plaatsvindt waarbij privileges worden opgewaardeerd. Onthoud dat niet alle privilege-escalatieaanvallen hetzelfde zijn, dus bespreken we hier aanvallen op basis van social engineering. Een werknemer met wrok kan zijn geautoriseerde toegang gebruiken om illegale activiteiten uit te voeren in uw hele infrastructuur.
- Controleer op ongebruikelijke inlogactiviteiten en kijk of er bestanden of applicaties zijn geopend door accounts met lage privileges die dat voor het eerst doen. Als uw toegangstokens zijn gemanipuleerd en u ziet bepaalde tekenen, wees dan op uw hoede.
- Zoek naar SID-geschiedenis-injectie en procesinjectie-aanvallen. DC-synchronisatie en schaduwaanslagen duiden ook op aanvallen waarbij privileges worden opgewaardeerd.
- Elke ongeoorloofde wijziging aan services die alleen met beheerdersrechten mogen worden uitgevoerd, is een standaardindicator voor aanvallen waarbij rechten worden opgewaardeerd.
- Andere systeemgebeurtenissen, zoals plotselinge applicatiecrashes of systeemuitval, applicatiestoringen of bedreigingen waarbij uw kernel en besturingssysteem worden gemanipuleerd, leiden uiteindelijk tot aanvallen waarbij rechten worden opgewaardeerd.
Best practices om aanvallen waarbij rechten worden opgewaardeerd te voorkomen
Hier volgen enkele best practices die u kunt gebruiken om aanvallen waarbij rechten worden opgewaardeerd te voorkomen:
- Een van de beste manieren om privilege-escalatieaanvallen te voorkomen, is door het principe van minimale toegangsrechten te begrijpen en toe te passen. Dit cyberbeveiligingsconcept maakt beperkte toegangsrechten voor alle gebruikers mogelijk. Dit betekent dat ze alleen de rechten krijgen die nodig zijn en die strikt vereist zijn voor hun werk.
- Het principe van minimale toegangsrechten zorgt ervoor dat uw dagelijkse werkzaamheden niet worden beïnvloed of vertraagd. Het beschermt ook uw systeembronnen tegen verschillende bedreigingen. U kunt toegangscontroles gebruiken, beveiligingsbeleid implementeren en ervoor zorgen dat uw IT-team controleert welke applicaties ze als lokale beheerders uitvoeren, zonder gebruikers lokale beheerdersrechten te geven.
- De tweede stap om aanvallen op bevoorrechte toegang te voorkomen, is uw software up-to-date houden. Als u gebreken ontdekt, moet u kwetsbaarheden onmiddellijk in al uw besturingssystemen patchen. Voer regelmatig kwetsbaarheidsscans uit en identificeer exploits voordat hackers er misbruik van maken.
- Houd uw systeemactiviteiten in de gaten om ervoor te zorgen dat er geen kwaadwillenden in uw netwerk op de loer liggen. Als u tijdens beveiligingscontroles verdachte afwijkingen of gedragingen ontdekt, is dat een duidelijk teken.
- Ring-fencing is een veelgebruikte techniek die organisaties gebruiken om te beperken wat apps kunnen doen, of ze nu communiceren met andere apps, bestanden, gegevens of gebruikers. Het is een barrière die voorkomt dat applicaties buiten de grenzen van de organisatie treden.
- Leer uw medewerkers ook het belang van beveiligingsbewustzijn. Zorg ervoor dat ze de tekenen van social engineering-malware en phishing kunnen herkennen. Bewustwording is een van de beste strategieën om aanvallen waarbij privileges worden geëscaleerd te voorkomen. Het werkt het beste in de strijd tegen hackers.
- Pas een zero-trust-benadering toe op cyberbeveiliging door een zero-trust-netwerkbeveiligingsarchitectuur op te zetten. Vertrouw niemand. Controleer altijd.
- Gebruik AI-technologieën voor dreigingsdetectie om scans uit te voeren op de achtergrond wanneer niemand anders oplet. Als mensen beveiligingsfouten over het hoofd zien, zullen automatiseringstools deze oppikken.
Verbeter uw informatie over bedreigingen
Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.
Meer lerenPraktijkvoorbeelden van aanvallen met privilege-escalatie
Bij een recente aanval met privilege-escalatie werd een door Microsoft ondertekende driver gebruikt. De aanvallers maakten misbruik van een fout in de Paragon-partitiebeheerder voor een bring-your-own-vulnerable-driver-programma. Deze zero-day-kwetsbaarheid was betrokken bij een ransomware-aanval, waardoor aanvallers systemen konden compromitteren en detectie konden omzeilen. CVE-2025-0289 was een onveilige kwetsbaarheid in de toegang tot kernelbronnen die werd gebruikt om privileges te escaleren.
Het voerde denial-of-service-aanvallen uit op doelgerichte apparaten. Het CERT Coordination Center waarschuwde dat deze kwetsbaarheid kon worden gebruikt op Windows-apparaten, zelfs als de Paragon-partitiebeheerder niet was geïnstalleerd.
De ransomwarevariant werd niet bekendgemaakt en Microsoft kon geen commentaar geven op de activiteit of deze verder uitbuiten. Ze weigerden antwoord te geven. Het is gebruikelijk dat ransomwarebendes kwetsbare stuurprogramma's uitbuiten en detectie- en responsmechanismen van eindpunten omzeilen.
Kubernetes Privilege Attacks zijn een ander type privilege-escalatieaanval die zich voordoet in clusters. Ze richten zich op containers en misbruiken systeempoorten binnen aanvalsketens.
Zodra aanvallers toegang hebben gekregen tot privileges op hoger niveau, kunnen ze misbruik maken van kwetsbaarheden, verkeerde configuraties en te soepele op rollen gebaseerde toegangsbeleidsregels. Ze kunnen kritieke diensten verstoren, kwaadaardige workloads implementeren en volledige controle krijgen over het hele Kubernetes-cluster.
Conclusie
Het voorkomen van privilege-escalatieaanvallen begint met het nemen van de nodige beveiligingsmaatregelen om strikte toegangscontroles af te dwingen en regelmatig beveiligingsaudits uit te voeren. Als u niet op de hoogte bent van wat er in uw organisatie gebeurt, kan het moeilijk zijn om vast te stellen wanneer er een laterale beweging plaatsvindt. Neem de beste programma's voor beveiligingsbewustzijn en -training op in uw organisatie en zorg ervoor dat uw medewerkers deze volgen.
Verwaarloos de basisprincipes niet, want die zijn essentieel om te leren hoe u privilege-escalatieaanvallen kunt voorkomen. Raadpleeg ook beveiligingsexperts zoals SentinelOne voor extra hulp.
FAQs
Een privilege-escalatieaanval vindt plaats wanneer iemand meer toegangsrechten krijgt dan hij al heeft, waardoor hij meer controle krijgt over een systeem of netwerk. Het is alsof je een sleutel krijgt van een plek waar je niet mag komen en die vervolgens gebruikt om meer deuren te openen.
Aanvallers verkrijgen hogere privileges door misbruik te maken van zwakke plekken in het systeem of gecompromitteerde inloggegevens. Ze kunnen een zwakke plek in software ontdekken of iemand manipuleren om hen toegang te geven. Vervolgens kunnen ze rondzwerven en meer bevoegdheden verwerven, meestal zonder dat dit wordt opgemerkt.
Privilege-escalatieaanvallen kunnen worden voorkomen door de mogelijkheden van gebruikers te beperken. Dat wil zeggen: geef mensen alleen de toegang die ze nodig hebben om hun taken uit te voeren.
Het is ook een goed idee om software up-to-date te houden en personeel voor te lichten over beveiliging. Het monitoren van verdacht gedrag is ook een optie die u kunt gebruiken.
Endpointbeveiliging blokkeert privilege-escalatie door individuele apparaten zoals computers en smartphones te beschermen. Het kan aanvallen identificeren en stoppen voordat ze zich verspreiden. Dit is belangrijk omdat aanvallers doorgaans beginnen met het aanvallen van één enkel eindpunt om toegang te krijgen tot een groter netwerk.
Bij een aanval waarbij privileges worden opgewaardeerd, moeten organisaties onmiddellijk reageren. Ze moeten de geïnfecteerde gebieden in quarantaine plaatsen, malware verwijderen en wachtwoorden wijzigen. U moet nagaan wat er is gebeurd, zodat het niet opnieuw gebeurt. U kunt beveiligingstools gebruiken om u daarbij te helpen.
Er zijn twee hoofdtypen aanvallen waarbij privileges worden opgewaardeerd: horizontale en verticale. Bij horizontale aanvallen worden de privileges van een gebruiker op hetzelfde niveau overgenomen. Bij verticale aanvallen wordt van een gewone gebruiker overgestapt naar een supergebruiker of beheerder met meer toegang tot netwerken en systemen.
