博客
什么是特权升级?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

特权升级是 开发 编程错误 脆弱性,设计缺陷,配置监督或 访问控制 在操作系统或应用程序中获取权限,以获取对通常受到应用程序或用户限制的资源的未经授权的访问。

这导致应用程序或用户具有比开发人员或系统管理员想要的特权更多的特权,从而使攻击者可以访问 敏感数据,安装  恶意软件  and launch other 网络攻击

特权升级如何工作?

大多数计算机系统设计用于多个用户帐户,每个用户帐户都具有称为特权的功能。普通特权包括查看,编辑或修改文件的能力。 

特权升级意味着攻击者可以通过利用特权升级来获取他们无权获得的特权 脆弱性 在目标系统或应用程序中,这使他们可以覆盖当前用户帐户的限制。 

特权升级是恶意用户获得对系统的初始访问权限的一种常用方法。攻击者从发现组织中的薄弱环节开始's 网络安全 初步渗透到系统中。

在许多情况下,第一个渗透点不会为攻击者提供所需的访问级别或访问权限。然后,他们将尝试特权升级以获得更多权限或获得对其他更敏感系统的访问权限。

在某些情况下,尝试特权升级的攻击者会发现大门是敞开的。不足 信息安全,未能遵循 最小特权原则 and a lack of 纵深防御 赋予普通用户不必要的特权。 

在其他情况下,攻击者利用糟糕的补丁节奏, 零日漏洞 或使用特定技术来克服操作系统'的权限机制。

为什么防止特权升级很重要?

虽然特权升级通常不是攻击者的最终目标,但它通常用于准备更具体的网络攻击,从而使入侵者可以部署恶意有效负载,调整安全设置并在目标系统中打开其他攻击媒介。 

每当您检测到或怀疑特权升级时,请使用 数字取证 查找其他恶意活动的迹象,例如 电脑蠕虫 恶意软件 企业间谍活动数据泄露数据泄漏中间人攻击 and stolen 个人身份信息(PII)受保护的健康信息(PHI)心理数据 or 生物识别.

即使没有进一步攻击的证据,特权升级事件也代表着重大事件  网络安全风险 因为这意味着有人未经授权访问了特权帐户以及机密或敏感信息。

在许多行业中,这些事件需要在内部报告给相关部门,以确保合规性。 

特权升级的两种类型是什么?

有两种主要的特权升级技术:

  1. 垂直特权升级(特权提升): 攻击者试图获得更高的特权或访问他们已经破坏的现有帐户。例如,攻击者接管了网络上的常规用户帐户,并尝试获取管理特权。通常是Microsoft Windows上的管理员或系统用户,或者是Unix和Linux系统上的root用户。一旦获得特权,攻击者就可以窃取 敏感数据 关于特定用户,请安装 勒索软件 间谍软件  or other 恶意软件类型,执行恶意代码并破坏 安全态势 组织的 
  2. 横向特权升级: 攻击者通过接管特权帐户并滥用授予用户的合法特权来扩展其特权。对于本地特权升级攻击,这可能意味着劫持具有管理员特权或root特权的帐户,而对于Web应用程序则可能意味着获得对用户的访问权限'的银行帐户或SaaS应用程序的管理员帐户。

特权升级的例子有哪些?

三种常见的特权升级技术是:

  1. 访问令牌操作: 利用Microsoft Windows管理管理员权限的方式。通常,Windows使用访问令牌来确定正在运行的进程的所有者。通过令牌操纵,攻击者使系统认为运行的进程属于与实际启动该进程的用户不同的用户。发生这种情况时,该过程将采用与攻击者关联的安全上下文'的访问令牌。这是特权提升或垂直特权升级的一种形式。 
  2. 绕过用户帐户控制: Windows具有称为用户帐户控制(UAC)的用于控制用户权限的结构化机制,该机制在普通用户和管理员之间形成障碍,限制标准用户权限,直到管理员授权增加的权限。但是,如果未正确配置计算机上的UAC保护级别,则某些Windows程序将被允许提升特权或执行组件对象模型(COM)对象,而无需先征得管理员权限。例如,rundll32.exe可以加载动态链接库(DLL),该链接可以加载具有提升权限的COM对象,从而使攻击者可以绕过UAC并获得对受保护目录的访问权限。 
  3. 使用有效帐户: 攻击者获得具有特权的管理员或用户的未经授权的访问,并使用它登录到敏感系统或创建自己的登录凭据。 

如何防止特权升级攻击

攻击者使用许多特权提升技术来实现其目标。好消息是,如果您可以快速检测到成功的或尝试的特权升级攻击,则很有可能在入侵者发起主要攻击之前就将其阻止。

首先,要尝试特权升级,攻击者通常需要获得对特权较低帐户的访问权限。这意味着常规用户帐户是您的第一道防线,请确保在 访问控制:

为了确保应用程序安全's vital to:

  • 避免应用程序中常见的编程错误: 遵循最佳做法,以避免攻击者针对的常见错误,例如缓冲区溢出,代码注入和未经验证的用户输入。 阅读我们的服务器加固指南 and 投资一种工具来监控意外数据暴露
  • 保护数据库并清理用户输入: 数据库是许多Web应用程序存储的有吸引力的目标 敏感数据 在数据库中,包括登录凭据,用户数据和付款方式。一次SQL注入可以使攻击者访问所有这些信息,并允许他们启动其他攻击程序。  网络攻击 。 较差的  配置管理 can lead to 数据泄漏 which is why it's important to  加密  静止和运输中的数据。 

并非所有特权升级都依赖于用户帐户,可以通过利用应用程序操作系统中的漏洞来获得管理员特权。 配置管理,尽量减少 攻击面 通过:  

  • 保持系统和应用程序更新: Many attacks  利用  known 漏洞 listed on  CVE 。通过保持一致的修补节奏,您可以将其最小化 网络安全风险.
  • 确保对文件,目录和Web服务器的正确权限: Follow 最小特权原则 ,检查  S3安全设置 并确保只有那些需要访问权限的人才能访问。 
  • 关闭不必要的端口并删除未使用的帐户: 默认的系统配置通常包括不必要的服务和在开放端口上运行的任意代码,每个都有可能 攻击载体。删除默认和未使用的帐户,以避免攻击者和前雇员获得对敏感系统的访问权限。
  • 避免使用默认的登录凭据: 这似乎很明显,但是许多组织无法更改其设备(例如打印机,路由器和IoT设备)上的默认登录凭据。不管你有多安全 网络安全 就是说,一台路由器使用默认的admin / password登录凭据可能足以使攻击者入侵。 
  • 删除或限制文件传输功能: FTP,TFPT,wget,curl和其他文件传输功能是下载和执行恶意代码或恶意可写文件的常用方法。考虑删除这些工具或将它们的使用限制为特定的目录,用户和应用程序。 

记住 信息风险管理 and your 信息安全政策 can'停止与您的组织合作:

如果您想了解您的组织'的外部安全状况, 使用我们的免费安全扫描仪查看您的外部攻击面。

UpGuard如何帮助防止特权升级攻击

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid  恶意软件 .

We're experts in 数据泄露 and 数据泄漏 , 我们的   研究  已在 纽约时报华尔街日报 彭博社 华盛顿邮报 福布斯 路透社  and Techcrunch。

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 并持续监控您的供应商'随着时间的流逝而形成的安全态势,同时将它们与行业进行比较 

每个供应商均根据50多个标准(例如是否存在  SSL协议 协议  and  域名系统 ,以及 域名劫持中间人攻击 and 电子邮件欺骗 for  网络钓鱼 .

每天,我们的平台都会通过 网络安全等级 out of 950. We'如果他们的分数下降,我会提醒您。

UpGuard BreachSight 可以帮助监控DMARC,打击 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。 

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订UpGuard平台的演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状