Ce que l'affaire Stryker révèle sur la stratégie offensive de Handala.
Lire le blog

Ce que l'attaque Stryker révèle sur la stratégie du groupe Handala. Lire l'article →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Technique d'attaque

Élévation de privilèges

L'escalade des privilèges est une méthode couramment utilisée par les attaquants d'aujourd'hui pour créer des violations de données catastrophiques. Voici ce qu'il faut savoir sur cette technique d'attaque.

Définition
Comment cela fonctionne-t-il ?
Pourquoi les attaquants l'utilisent-ils ?
Détection
Foire aux questions
Définition

Qu'est-ce que l'escalade des privilèges ?

Privilege escalation is a technique attackers use to gain unauthorized access to privileged accounts — ones that can be used to deploy malware and conduct other malicious activities. It typically starts when an attacker gains access to the corporate network by taking over a standard user account. Once inside, they work their way up to admin, superuser, and other high-level hosts and accounts.

Types d'escalade des privilèges

Élévation verticale des privilèges (Privilege Escalation)

L'escalade verticale des privilèges ou l'élévation des privilèges se produit lorsqu'un attaquant passe d'un niveau de privilège inférieur à un niveau supérieur. Par exemple, un utilisateur normal obtient des droits d'administration. Cette technique permet d'accéder à des fonctions protégées du système et à des données sensibles, augmentant ainsi les dommages potentiels.

L'escalade horizontale des privilèges

L'escalade horizontale des privilèges consiste à accéder aux privilèges ou aux ressources d'un autre utilisateur ayant des niveaux d'accès similaires. Cette technique permet aux attaquants d'accéder ou de manipuler les données ou les services d'un autre utilisateur sans autorisation.

Comment cela fonctionne-t-il ?

Comment fonctionne l'escalade des privilèges ?

L'escalade verticale des privilèges

Cela se produit lorsqu'un attaquant disposant de droits d'accès limités, comme un utilisateur normal, exploite des vulnérabilités pour obtenir des privilèges de niveau supérieur, comme un accès administratif ou un accès racine. Il s'agit de la forme la plus courante d'escalade des privilèges, qui peut entraîner des risques importants pour la sécurité.

Le processus d'escalade verticale des privilèges

L'escalade horizontale des privilèges

‍Dansce cas, un attaquant se déplace latéralement dans un système, obtenant l'accès aux ressources ou aux comptes d'autres utilisateurs qui ont des droits d'accès similaires. Bien que l'escalade horizontale n'implique pas l'obtention de privilèges plus élevés, elle permet aux attaquants d'exploiter d'autres comptes ou données.

Le processus d'escalade horizontale des privilèges

Comment les attaquants procèdent-ils à l'escalade des privilèges ?

1. Acquisition de l'accès initial

Les attaquants commencent par s'introduire dans un système avec des privilèges d'utilisateur de base. Ils y parviennent par des méthodes telles que phishing, où des communications trompeuses incitent les utilisateurs à révéler leurs informations d'identification, en exploitant les vulnérabilités des logiciels ou des systèmes qui n'ont pas été correctement sécurisés, ou en utilisant des informations d'identification par défaut qui n'ont jamais été modifiées après l'installation. L'objectif principal à ce stade est d'établir un pied dans le système, en créant une plateforme à partir de laquelle ils peuvent lancer d'autres attaques.

2. Recensement et reconnaissance des systèmes

Une fois à l'intérieur du système, les attaquants procèdent à l'énumération et à la reconnaissance du système afin de recueillir des informations détaillées sur l'environnement. Ils recueillent des données sur l'architecture du système, les versions du système d'exploitation, les applications installées, les services en cours d'exécution et les comptes d'utilisateurs existants. Cette collecte d'informations est facilitée par des outils tels que des utilitaires de ligne de commande, des scripts système et des outils d'analyse du réseau, qui permettent de cartographier la structure du système et d'identifier les cibles potentielles à exploiter.

3. Identification des vulnérabilités

Après avoir acquis une connaissance approfondie du système, les attaquants procèdent à l'identification des vulnérabilités qui peuvent être exploitées pour élever leurs privilèges. Ils recherchent des vulnérabilités logicielles, telles que des bogues non corrigés ou des failles dont l'exploitation est connue. Les faiblesses de configuration sont également recherchées, notamment les services mal configurés, les autorisations de fichiers non sécurisées qui permettent un accès non autorisé, ou les paramètres par défaut qui n'ont pas été correctement sécurisés. En outre, ils évaluent les problèmes liés aux informations d'identification, tels que les mots de passe faibles faciles à deviner ou à craquer, les informations d'identification réutilisées sur plusieurs systèmes ou les jetons d'authentification exposés qui peuvent être interceptés.

4. Techniques d'exploitation

To take advantage of the identified vulnerabilities, attackers employ various exploitation techniques. When exploiting software vulnerabilities, they may perform buffer overflows by injecting code into a program through overrunning a buffer's boundary, or conduct code injection by inserting malicious code into trusted applications. Abusing misconfigurations is another tactic; attackers might exploit insecure file permissions to access or modify files due to improper permission settings, or leverage SUID/SGID abuse on Unix/Linux systems by exploiting files that execute with higher privileges.

Credential theft is a critical method used to gain unauthorized access. Attackers might engage in password hash dumping, extracting password hashes from system memory or files to crack them offline. Keylogging is another technique, where they record keystrokes to capture passwords and other sensitive information. To bypass security controls, attackers may manipulate tokens, using stolen tokens to impersonate higher-privileged users. On Windows systems, they might perform DLL hijacking by replacing legitimate Dynamic Link Library (DLL) files with malicious ones to execute code with elevated privileges. Exploiting weaknesses in User Account Control (UAC) allows them to perform administrative tasks without prompting the user, effectively bypassing a key security feature.

5. Obtention de privilèges élevés

Armed with these techniques, attackers aim to gain elevated privileges within the system. They execute exploits by running specialized scripts or tools designed to take advantage of the identified vulnerabilities. Deploying privilege escalation payloads involves introducing malware specifically crafted to escalate privileges upon execution. Service exploitation is another avenue, where attackers target services that are running with higher privileges, manipulating them to execute arbitrary code that grants them increased access rights.

6. Activités post-exploitation

Après avoir réussi à élever leurs privilèges, les attaquants se livrent à des activités de post-exploitation pour consolider leur contrôle et se préparer à d'autres opérations. Pour conserver l'accès, ils peuvent créer des portes dérobées en installant des méthodes persistantes qui leur permettent de pénétrer à nouveau dans le système, même après un redémarrage ou une mise à jour de sécurité. L'ajout de nouveaux comptes d'utilisateurs dotés de privilèges administratifs leur assure un accès permanent sans dépendre de l'exploit initial.

Covering their tracks is essential to avoid detection. Attackers manipulate logs by deleting or altering event records to hide evidence of their activities. They may also modify file timestamps to prevent forensic analysts from identifying anomalies during investigations. With elevated privileges, attackers can perform lateral movement within the network. Network propagation involves using their access to infiltrate other systems connected to the network, expanding their reach and potential impact. They leverage obtained credentials to infiltrate additional resources, a process known as credential reuse, which allows them to compromise more accounts and systems without triggering immediate suspicion.

Processus d'escalade des privilèges par un pirate informatique
Pourquoi les attaquants l'utilisent-ils ?

Pourquoi les attaquants utilisent-ils l'escalade des privilèges ?

Les attaquants utilisent des techniques d'escalade des privilèges pour obtenir un accès non autorisé à des niveaux de permissions plus élevés au sein d'un système ou d'un réseau. En élevant leurs privilèges, les attaquants peuvent effectuer des actions qui sont normalement restreintes, telles que l'accès à des données sensibles, l'installation de malware, la modification des configurations du système ou la prise de contrôle complète d'un système. Il est essentiel de comprendre pourquoi les attaquants utilisent ces techniques pour mettre en œuvre des mesures de sécurité efficaces.

Voici les principales raisons et méthodes qui sous-tendent l'utilisation de l'escalade des privilèges par les attaquants :

Accès aux données sensibles

  • Confidential Information: Elevated privileges allow attackers to access sensitive files, databases, and communications that are restricted to regular users.
  • Exfiltration de données: Les attaquants peuvent voler des données précieuses telles que des identités personnelles, des dossiers financiers ou des informations commerciales exclusives.

Contrôle et persistance du système

  • Maintien de l'accès: Avec des privilèges plus élevés, les attaquants peuvent créer des portes dérobées, de nouveaux comptes d'utilisateurs ou modifier les mécanismes d'authentification pour conserver un accès à long terme.
  • Désactivation des mesures de sécurité: Ils peuvent désactiver les logiciels antivirus, les pare-feu ou les systèmes de détection d'intrusion pour éviter d'être détectés.

Mouvement latéral au sein des réseaux

  • Extension de la portée: L'escalade des privilèges permet aux attaquants de se déplacer à travers différents systèmes et segments de réseau, augmentant ainsi la portée de leur attaque.
  • Compromettre d'autres systèmes: L'accès aux informations d'identification administratives permet aux attaquants d'infiltrer d'autres appareils et serveurs au sein du réseau.

Exécution d'attaques avancées

  • Installation de Malware ou de ransomware: des privilèges plus élevés sont souvent nécessaires pour installer ou exécuter des logiciels malveillants qui peuvent crypter des données ou perturber les opérations.
  • Manipulation du système: Les attaquants peuvent modifier les configurations, les horaires ou les services du système pour atteindre leurs objectifs.

Contourner les restrictions de sécurité

  • Remise en cause des autorisations: L'élévation des privilèges permet aux attaquants de contourner les permissions du système de fichiers et les contrôles d'accès.
  • Accès aux fonctions restreintes: Ils peuvent effectuer des actions qui sont normalement réservées aux administrateurs, telles que la modification des journaux d'audit.

Récolte de titres de compétences

  • Collecte de mots de passe et de jetons: Les attaquants peuvent extraire des informations d'identification de la mémoire, des fichiers de configuration ou des trousseaux de clés.
  • Extraction de tickets Kerberos: Ils peuvent utiliser des techniques telles que Pass-the-Hash ou Kerberoasting pour obtenir des jetons d'authentification.

Perturbations et sabotage

  • Déni de service (DoS): Les attaquants peuvent arrêter des services critiques ou surcharger les ressources du système.
  • Manipulation ou destruction de données: Ils peuvent modifier ou supprimer des données, ce qui entraîne des problèmes opérationnels ou une perte de confiance.

Gain financier

  • Vol d'argent: L'accès aux systèmes financiers permet aux attaquants de manipuler les transactions ou de détourner des fonds.
  • Demande de rançon: Ils peuvent crypter des données et exiger le paiement des clés de décryptage.

Couvrir les traces

  • Falsification des journaux: Avec des privilèges plus élevés, les attaquants peuvent effacer ou modifier les journaux pour dissimuler leurs activités.
  • Désactivation des outils de surveillance: Ils peuvent arrêter ou interférer avec les solutions de surveillance de la sécurité.
Détections de plates-formes

Comment détecter les activités liées à l'escalade des privilèges ?

Most organizations use a combination of security measures to prevent privilege escalation attacks. Zero trust, identity and access management (IAM) and privileged access management (PAM) are all common examples.

But there’s a problem with these approaches: They all rely on a single point of entry. What’s more, most organizations have 3x more privileged accounts than employees, making it impossible to manage them all. And once access is granted, it can easily be manipulated. 

To stay ahead of privilege escalation, continuous visibility is key. Constantly monitoring and analyzing account activity allows you to identify abuse in real time. And the only way to do it accurately is with AI. 

C'est là que la détection et la réponse aux menaces étendues entrent en jeu. Vectra AI utilise des dizaines de détections basées sur l'IA pour identifier les activités anormales liées aux privilèges sur le réseau, l'identité et le site public cloud. Ces détections ne se concentrent pas sur les anomalies, mais plutôt sur les comportements réels des attaquants. Des demandes inhabituelles sur AWS et Entra ID aux demandes de service suspectes, chacune est automatiquement corrélée, analysée, validée et triée pour montrer aux défenseurs quand les attaquants tentent d'utiliser l'escalade des privilèges.

Détection
Anomalie de privilège : hôte inhabituel
En savoir plus
Détection
Anomalie de privilège : Trio inhabituel
En savoir plus
Détection
Anomalie de privilège : service inhabituel
En savoir plus
Détection
Anomalie de privilège : compte inhabituel sur l'hôte
En savoir plus
Détection
Anomalie de privilège : service inhabituel - individu
En savoir plus
Détection
Anomalie de privilège : Service inhabituel de l'hôte
En savoir plus
Détection
Escalade de privilèges suspecte dans AWS
En savoir plus
Détection
Anomalie dans l'utilisation des privilèges Azure AD
En savoir plus
Détection
Octroi suspect de privilèges aux administrateurs d'AWS
En savoir plus
Explorer toutes les détections

Protégez vos comptes à privilèges grâce à des détections avancées

L'escalade des privilèges n'est qu'un des moyens utilisés par les attaquants modernes pour déjouer vos outils de prévention. Nos puissantes détections basées sur l'IA sont conçues pour trouver n'importe quelle menace en se basant sur les comportements des attaquants, et couvrent 90 % des techniques pertinentes sur MITRE ATT&CK .

Explorer la plateforme
En savoir plus

Foire aux questions