Was ist Rechteausweitung?
Rechteausweitung ist eine Angriffstechnik, bei der ein Angreifer eine Schwachstelle, eine Fehlkonfiguration oder gestohlene Zugangsdaten ausnutzt, um höhere Berechtigungen zu erlangen als ursprünglich autorisiert – typischerweise vom normalen Benutzer zum Administrator- oder Root-Konto.
Auch bekannt als: privilege escalation attack, vertical privilege escalation
Rechteausweitung tritt in zwei Formen auf. Vertikale Rechteausweitung bedeutet, höhere als die aktuell zugewiesenen Rechte zu erlangen – etwa ein Standardbenutzer, der Administratorzugriff erlangt. Horizontale Rechteausweitung bedeutet, auf die Ressourcen eines anderen Benutzers desselben Rechteniveaus zuzugreifen – etwa ein Kunde, der die Daten eines anderen Kunden sieht. Beide sind kritische Schritte in den meisten ausgefeilten Angriffsketten.
Häufige Vektoren für Rechteausweitung umfassen die Ausnutzung ungepatchter Software-Schwachstellen, falsch konfigurierte Berechtigungen, unsichere Dienstkonten, die Wiederverwendung von Zugangsdaten und übermäßig freizügige Zugriffskontrollen. In Cloud-Umgebungen sind falsch konfigurierte IAM-Rollen und zu weit gefasste Richtlinien häufige Ursachen. Angreifer verketten oft mehrere Probleme geringer Schwere: ein Niedrigrechtsfußpunkt plus eine lokale Rechteausweitungsschwachstelle können eine vollständige Systemkompromittierung ergeben.
Die Abwehr konzentriert sich auf das Prinzip der minimalen Rechte: Jeder Benutzer, jeder Prozess und jeder Dienst sollte nur die minimal notwendigen Berechtigungen zum Funktionieren haben. Regelmäßige Zugriffsüberprüfungen, robustes Zugangsdatenmanagement, schnelles Patching und die Überwachung anomaler Rechtenutzung reduzieren die Angriffsfläche. Entscheidend: Geheimnisse wie Admin-Zugangsdaten, API-Schlüssel und SSH-Schlüssel müssen streng kontrolliert werden – in E-Mails oder geteilten Dokumenten werden sie zum schnellsten Weg zur Rechteausweitung.
Wie Vaulted Rechteausweitung verwendet
Vaulted unterstützt Praktiken der minimalen Rechte, indem sichergestellt wird, dass geteilte Zugangsdaten – oft der Schlüssel zur Rechteausweitung – nicht in Kommunikationskanälen persistieren. Wenn ein Team ein Admin-Passwort, Datenbank-Zugangsdaten oder einen AWS-Zugriffsschlüssel teilen muss, stellen Vaulteds selbstzerstörende Links sicher, dass das Geheimnis nur für eine begrenzte Anzahl von Views verfügbar ist, bevor es dauerhaft gelöscht wird. Das verhindert, dass Angreifer, die auf ein Postfach oder einen Chat-Verlauf zugreifen, die Zugangsdaten finden, die sie für eine Rechteausweitung benötigen.