Czym jest Eskalacja uprawnień?
Eskalacja uprawnień to technika ataku, w której atakujący wykorzystuje podatność, błędną konfigurację lub skradzione poświadczenia, aby uzyskać wyższe uprawnienia niż pierwotnie autoryzowane — zazwyczaj od zwykłego użytkownika do konta administratora lub roota.
Znane również jako: privilege escalation attack, vertical privilege escalation
Eskalacja uprawnień występuje w dwóch formach. Pionowa eskalacja uprawnień oznacza uzyskanie wyższych uprawnień niż aktualnie przyznane — na przykład standardowy użytkownik uzyskujący dostęp administratora. Pozioma eskalacja uprawnień oznacza dostęp do zasobów innego użytkownika na tym samym poziomie uprawnień — na przykład klient widzący dane innego klienta. Obie są krytycznymi krokami w większości zaawansowanych łańcuchów ataku.
Typowe wektory eskalacji uprawnień obejmują wykorzystanie niezałatanych podatności oprogramowania, błędnie skonfigurowane uprawnienia, niezabezpieczone konta usług, ponowne użycie poświadczeń i nadmiernie liberalne kontrole dostępu. W środowiskach chmurowych błędnie skonfigurowane role IAM i zbyt szerokie zasady są częstymi przyczynami. Atakujący często łączą wiele problemów o niskiej wadze: niskoprzywilejowany punkt wejścia plus lokalna podatność na eskalację uprawnień może przynieść pełną kompromitację systemu.
Obrona koncentruje się na zasadzie minimalnych uprawnień: każdy użytkownik, proces i usługa powinny mieć tylko minimalnie niezbędne uprawnienia do funkcjonowania. Regularne przeglądy dostępu, solidne zarządzanie poświadczeniami, szybkie łatanie i monitorowanie anomalnego użycia uprawnień zmniejszają powierzchnię ataku. Kluczowe jest ścisłe kontrolowanie sekretów, takich jak poświadczenia administratora, klucze API i klucze SSH — przechowywane w e-mailach lub udostępnionych dokumentach stają się najszybszą drogą do eskalacji uprawnień.
Jak Vaulted używa Eskalacja uprawnień
Vaulted wspiera praktyki minimalnych uprawnień, zapewniając, że udostępniane poświadczenia — często klucz do eskalacji uprawnień — nie utrwalają się w kanałach komunikacyjnych. Gdy zespół musi udostępnić hasło administratora, poświadczenia bazy danych lub klucz dostępu AWS, samozniszczające się linki Vaulted zapewniają, że sekret jest dostępny przez ograniczoną liczbę wyświetleń, zanim zostanie trwale usunięty. Uniemożliwia to atakującym uzyskującym dostęp do skrzynki pocztowej lub historii czatu znalezienie poświadczeń potrzebnych do eskalacji uprawnień.