Ataque: La escalada de privilegios

¿Conoces qué es la escalada de privilegios?

Esta es una técnica de ataque cibernético en la que un atacante obtiene acceso no autorizado a privilegios más altos al aprovechar fallas de seguridad, debilidades y vulnerabilidades en el sistema de una organización. En el siguiente blog te comentamos todo acerca de la escala de privilegios para que puedas evitar este tipo de ataque.

La escalada de privilegio es el intento de elevar los permisos de acceso mediante la explotación de errores, fallas del sistema, comportamientos humanos, descuidos de configuración o controles de acceso débiles. En la mayoría de los casos, el primer intento de ataque de penetración no es suficiente para obtener el nivel requerido de acceso a los datos. Luego, los atacantes recurren a escaladas de privilegios para obtener un acceso más profundo a las redes, los activos y la información confidencial.

Los ataques de escalamiento de privilegios se realizan para poner en peligro las operaciones comerciales mediante la filtración de datos y la creación de puertas traseras. El objetivo de la escalada de privilegios es obtener el control total sobre el sistema o la red, con la intención maliciosa de violaciones de seguridad, robo de datos, etc. Los actores de amenazas que realizan estos ataques pueden ser piratas informáticos externos o internos que comienzan realizando un ataque de ingeniería social como phishing para obtener acceso a redes y sistemas informáticos mediante el robo de credenciales.

Dado que los ataques de escalada de privilegios pueden afectar la reputación y la continuidad del negocio, se deben implementar medidas estratégicas para la prevención, detección temprana y mitigación.

Principales tipos de escaladas de privilegios

La escalada de privilegios se puede clasificar en líneas generales en escalada de privilegios vertical y escalada de privilegios horizontal.

La escalada horizontal de privilegios o la toma de control de cuentas es obtener acceso a los derechos de cuentas de nivel inferior con privilegios similares, principalmente para aumentar la esfera de acceso del atacante.

La escalada vertical de privilegios, o el ataque de elevación de privilegios, consiste en piratear un sistema para obtener acceso con privilegios elevados más allá de lo que ya tiene el atacante.

Escalada de privilegios vertical frente a horizontal

Las escaladas de privilegios verticales y horizontales, a menudo confundidas, se refieren a diferentes métodos para obtener mayores privilegios dentro de un sistema o una red. La escalada de privilegios horizontal significa obtener acceso al mismo nivel de privilegios que un usuario. Por el contrario, la escalada vertical de privilegios se refiere a obtener un nivel de privilegios superior al del usuario.

En caso de una escalada horizontal de privilegios, un empleado de bajo nivel con acceso a datos confidenciales puede usar ese acceso para obtener los mismos privilegios que un empleado de nivel superior, como un gerente. Esto permite que el atacante realice acciones con el mismo nivel de autoridad que el empleado comprometido.

Por otro lado, la escalada vertical de privilegios se refiere al proceso de obtener privilegios más altos que los que tiene el usuario actualmente. Por ejemplo, un empleado de bajo nivel puede explotar una vulnerabilidad en el sistema para obtener privilegios administrativos, obteniendo así la capacidad de realizar acciones con un nivel de autoridad mucho mayor.

Tipos comunes de técnicas o métodos de escalada de privilegios

Hay varios tipos de técnicas de escalada de privilegios que los atacantes pueden usar para comprometer un sistema. Algunos de ellos se discuten a continuación.

Ingeniería social: en esta técnica, un atacante engaña a un usuario para que revele sus credenciales o realice acciones que otorgan al atacante privilegios elevados. Esto puede incluir ataques de phishing, en los que un atacante envía un correo electrónico haciéndose pasar por una entidad de confianza para engañar al destinatario para que revele sus credenciales, lo que le da acceso al sistema.

Ataques de tabla pass-the-hash/Rainbow: otra técnica es el ataque pass-the-hash (PtH), que tiene como objetivo hacerse pasar por un usuario mediante el uso de un hash de contraseña robado para crear una nueva sesión en la misma red. Para defenderse de este ataque, los sistemas modernos deben emplear soluciones robustas de administración de contraseñas para mantener el hash único entre dos sesiones.

Vulnerabilidades y exploits: la explotación de vulnerabilidades en el software y los sistemas operativos es otro método popular de escalada de privilegios. Aquí, los atacantes explotan vulnerabilidades de software sin parches, problemas de desbordamiento de búfer u otras puertas traseras para obtener una escalada de privilegios.

Configuraciones incorrectas: en este ataque, el atacante aprovecha los sistemas configurados incorrectamente para escalar sus privilegios. Esto puede incluir contraseñas débiles, servicios de red no seguros, puertos abiertos, fallas auténticas y otros sistemas mal configurados.

Exploits de kernel: en esta técnica, el atacante explota vulnerabilidades de día cero en el kernel del sistema operativo para escalar sus privilegios. Esto representa una seria amenaza ya que el núcleo obtiene el control total del sistema y puede eludir las medidas de seguridad.

Mejores prácticas para prevenir ataques de escalada de privilegios

Los ataques de escalada de privilegios pueden tener graves consecuencias, incluido el robo de información confidencial, la interrupción de las operaciones y el daño a la reputación. Al implementar contraseñas seguras, restringir el acceso, actualizar regularmente los sistemas, monitorear la actividad y tener un plan de respuesta claro, las organizaciones pueden reducir el riesgo de ser víctimas de ataques de escalada de privilegios. A continuación, se presentan algunas de las mejores prácticas que deben adoptarse para prevenir y mitigar tales ataques:

Principio de privilegio mínimo: esta medida es necesaria para limitar el acceso a sistemas, aplicaciones y datos confidenciales solo a aquellos que lo necesitan.

Aplique parches y actualice el software periódicamente: mantener todos los sistemas, el software y las aplicaciones actualizados con los parches de seguridad más recientes es esencial para solucionar las vulnerabilidades conocidas.

Escaneo de vulnerabilidades: a los atacantes les resulta más difícil ingresar a la red cuando todos los componentes de la infraestructura de TI se escanean de manera rutinaria en busca de debilidades. Antes de que los atacantes potenciales puedan aprovecharlos, los análisis de vulnerabilidades identifican configuraciones incorrectas, cambios de sistema no documentados, sistemas operativos y programas sin parches o no seguros, y otros problemas.

Implemente contraseñas seguras: anime a los usuarios a usar contraseñas seguras y únicas que sean más difíciles de adivinar o descifrar.

Capacitación en concientización sobre seguridad: la capacitación en concientización sobre seguridad es esencial para evitar que las personas en las organizaciones ayuden involuntariamente en un ataque de escalada de privilegios al abrir enlaces y archivos adjuntos maliciosos. También es esencial enfatizar los riesgos y peligros de compartir cuentas y contraseñas.

Plan de respuesta a incidentes: es imperativo tener un plan claro de respuesta a incidentes que describa los pasos para responder rápidamente a los incidentes detectados y evitar una mayor explotación.

Ejemplos de ataques de escalada de privilegios

A continuación, se analizan algunos ejemplos comunes de ataques de escalada de privilegios.

Teclas adhesivas de Windows: el ataque de “clave adhesiva” es la forma más común y bastante fácil de realizar un ataque de escalada de privilegios. No requiere conjuntos de habilidades técnicas altas. Los atacantes deben tener acceso físico al sistema y deberían poder iniciarlo desde un disco de reparación. Al presionar la tecla Shift cinco veces, un atacante puede obtener acceso al símbolo del sistema con privilegios de administrador, lo que le permite ejecutar código malicioso.

Windows Sysinternals: el conjunto de herramientas de Windows Sysinternals es otro método común para realizar un ataque de escalada de privilegios. En este caso, un atacante primero realiza un ataque de ‘clave adhesiva’ para obtener una puerta trasera en el sistema y luego ejecuta “psexec.exe -s cmd” para obtener privilegios de administrador.

Inyección de proceso: este ataque de escalada de privilegios se dirige a procesos débiles. Este proceso implica inyectar códigos maliciosos en procesos en ejecución para elevar los privilegios de ese proceso.

Enumeración de usuario de contraseña de Linux: este es otro método predominante de escalada de privilegios en el que el atacante puede usar herramientas para enumerar nombres de usuario válidos en un sistema de destino. Los atacantes primero identifican las cuentas de destino en un sistema Linux para llevar a cabo este ataque al obtener acceso al shell del sistema. Esto se realiza principalmente mediante la explotación de servidores FTP mal configurados.

Android Metasploit: Android Metasploit se refiere al uso del marco Metasploit para explotar vulnerabilidades en dispositivos Android. El marco Metasploit es una herramienta de piratería popular utilizada por los atacantes que contiene una biblioteca de vulnerabilidades conocidas. Los atacantes pueden aprovechar estos exploits para realizar ataques de escalada de privilegios contra dispositivos Android rooteados.

Herramientas para proteger sus sistemas de la escalada de privilegios

El uso de UEBA, herramientas de seguridad de contraseñas y escáneres de vulnerabilidades puede prevenir en gran medida los ataques de escalada de privilegios. Al monitorear el comportamiento de los usuarios, proteger las contraseñas e identificar vulnerabilidades, las organizaciones pueden reducir el riesgo de verse comprometidas por un ataque de escalada de privilegios.

UEBA (User and Entity Behavior Analytics): UEBA es una herramienta de seguridad que utiliza el aprendizaje automático para analizar el comportamiento del usuario y detectar actividades anómalas. Esta herramienta puede identificar cambios en los patrones de acceso, intentos de acceder a información confidencial o escalar privilegios. La plataforma de administración de seguridad Exabeam y la plataforma Cynet 360, impulsadas por UEBA, analizan comportamientos anormales de cuentas y usuarios y brindan soluciones integrales para ofrecer a las organizaciones visibilidad en tiempo real del panorama de seguridad.

Herramientas de seguridad de contraseñas: uno de los métodos de escalada de privilegios más comunes es descifrar o adivinar contraseñas. Password Auditor y Password Manager Pro son herramientas populares de seguridad de contraseñas que ofrecen una solución integral de administración de contraseñas y ayudan a las personas y empresas a guardar y almacenar sus contraseñas de forma segura. También facilitan la tarea de recordar contraseñas complejas y fomentan el uso de contraseñas únicas y seguras para diferentes cuentas.

Escáneres de vulnerabilidades: los escáneres de vulnerabilidades son herramientas automatizadas que escanean un sistema, una red o una aplicación en busca de vulnerabilidades y configuraciones incorrectas que podrían explotarse para escalar privilegios. El uso de escáneres de vulnerabilidades ayudará a las organizaciones a identificar debilidades, encontrar errores de codificación y obtener una guía de reparación para mitigar las fallas de seguridad antes de que sean explotadas. Invicti y Acunetix son dos de los escáneres de vulnerabilidades populares que se pueden usar para detectar vulnerabilidades de seguridad.

Soluciones de software de gestión de acceso privilegiado (PAM): las soluciones de software PAM mitigan los riesgos de acceso privilegiado. Las soluciones PAM protegen a las organizaciones contra los ataques de escalada de privilegios al identificar, monitorear y detectar el acceso no autorizado a información confidencial. JumpCloud Ping Identity y Foxpass son soluciones PAM populares.

Las escaladas de privilegios pueden ser un problema de seguridad importante, ya que permiten a los atacantes controlar el sistema y acceder a información confidencial. Si bien el uso de estas herramientas ayuda en la detección temprana y la mitigación de los ataques de escalada de privilegios, es importante tener en cuenta que estas herramientas deben usarse como parte de una estrategia de seguridad integral y no como una solución única.

Fuente: Privilege Escalation: Attacks, Understanding its Types & Mitigating Them, EC-Council