Η αύξηση των ελαττωμάτων προνομίων είναι η πιο κοινή ευπάθεια που χρησιμοποιείται από εταιρικούς εμπιστευτικούς παράγοντες κατά τη διεξαγωγή μη εξουσιοδοτημένων δραστηριοτήτων σε δίκτυα, είτε για κακόβουλους σκοπούς είτε με τη λήψη επικίνδυνων εργαλείων με επικίνδυνο τρόπο.
Μια αναφορά του Crowdstrike που βασίζεται σε δεδομένα που συγκεντρώθηκαν μεταξύ Ιανουαρίου 2021 και Απριλίου
2023
δείχνει ότι οι απειλές από εμπιστευτικές πληροφορίες αυξάνονται και ότι η χρήση ελαττωμάτων κλιμάκωσης προνομίων αποτελεί σημαντικό στοιχείο της μη εξουσιοδοτημένης δραστηριότητας.
Σύμφωνα με την έκθεση, το 55% των εσωτερικών απειλών που καταγράφονται από την εταιρεία βασίζεται σε εκμεταλλεύσεις κλιμάκωσης προνομίων, ενώ το υπόλοιπο 45% εισάγει άθελά του κινδύνους με τη λήψη ή την κακή χρήση επιθετικών εργαλείων.
Οι απατεώνες στρέφονται συνήθως εναντίον του εργοδότη τους επειδή τους έχουν δοθεί οικονομικά κίνητρα, από κακία ή λόγω διαφορών με τους προϊσταμένους τους.
Το CrowdStrike κατηγοριοποιεί επίσης τα περιστατικά ως απειλές από εμπιστευτικές πληροφορίες όταν δεν είναι κακόβουλες επιθέσεις εναντίον μιας εταιρείας, όπως η χρήση εκμεταλλεύσεων για την εγκατάσταση λογισμικού ή την εκτέλεση δοκιμών ασφαλείας.
Ωστόσο, σε αυτές τις περιπτώσεις, αν και δεν χρησιμοποιούνται για να επιτεθούν στην εταιρεία, συνήθως χρησιμοποιούνται με επικίνδυνο τρόπο, εισάγοντας πιθανώς απειλές ή κακόβουλο λογισμικό στο δίκτυο που θα μπορούσαν να καταχραστούν οι φορείς απειλών.
Το Crowdstrike ανακάλυψε ότι οι επιθέσεις που ξεκινούν μέσα από στοχευμένους οργανισμούς κοστίζουν κατά μέσο όρο 648.000 $ για κακόβουλα και 485.000 $ για μη κακόβουλα περιστατικά. Αυτά τα στοιχεία μπορεί να είναι ακόμη υψηλότερα το 2023.
Εκτός από το σημαντικό οικονομικό κόστος των εσωτερικών απειλών,
Απεργία πλήθους
υπογραμμίζει τις έμμεσες επιπτώσεις των ζημιών της επωνυμίας και της φήμης.
Μια τυπική επίθεση εκ των έσω
Το Crowdstrike εξηγεί ότι η χρήση τρωτών σημείων κλιμάκωσης προνομίων για την απόκτηση διαχειριστικών προνομίων είναι κρίσιμη για πολλές επιθέσεις εκ των έσω, καθώς στις περισσότερες περιπτώσεις, οι απατεώνες αρχίζουν με πρόσβαση χαμηλού επιπέδου στα περιβάλλοντα δικτύου τους.
Τα υψηλότερα προνόμια επιτρέπουν στους εισβολείς να εκτελούν ενέργειες όπως λήψη και εγκατάσταση μη εξουσιοδοτημένου λογισμικού, σκούπισμα αρχείων καταγραφής ή ακόμη και διάγνωση προβλημάτων στον υπολογιστή τους χρησιμοποιώντας εργαλεία που απαιτούν δικαιώματα διαχειριστή.
Τα ελαττώματα που αξιοποιούνται περισσότερο για την κλιμάκωση των τοπικών προνομίων από αδίστακτους γνώστες είναι τα ακόλουθα, σύμφωνα με τις παρατηρήσεις του CrowdStrike:
-
CVE-2017-0213
: Το ελάττωμα των Windows επιτρέπει την αύξηση των προνομίων μέσω της εκμετάλλευσης της υποδομής COM. -
CVE-
2022
-0847
(
DirtyPipe
)
: Ελάττωμα διαχείρισης λειτουργιών σωλήνα πυρήνα Linux. -
CVE-2021-4034 (
PwnKit
)
: Ελάττωμα Linux που επηρεάζει την υπηρεσία συστήματος Polkit. -
CVE-2019-13272
: Ευπάθεια Linux που σχετίζεται με ακατάλληλο χειρισμό των δικαιωμάτων χρήστη σε διαδικασίες πυρήνα. -
CVE-2015-1701
: Σφάλμα των Windows που περιλαμβάνει το πρόγραμμα οδήγησης λειτουργίας πυρήνα «win32k.sys» για μη εξουσιοδοτημένη εκτέλεση κώδικα. -
CVE-2014-4113
: Στοχεύει επίσης το ‘win32k.sys’ αλλά περιλαμβάνει διαφορετική μέθοδο εκμετάλλευσης.
Τα παραπάνω ελαττώματα αναφέρονται ήδη στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV) της CISA καθώς έχουν χρησιμοποιηθεί ιστορικά σε επιθέσεις από παράγοντες απειλών.
Ακόμα κι αν ένα σύστημα έχει διορθωθεί για αυτά τα ελαττώματα, οι χρήστες μπορούν να αποκτήσουν αυξημένα προνόμια μέσω άλλων μέσων, όπως ελαττώματα πειρατείας DLL σε εφαρμογές που εκτελούνται με αυξημένα δικαιώματα, μη ασφαλή δικαιώματα συστήματος αρχείων ή διαμορφώσεις υπηρεσίας ή επιθέσεις Bring Your Own Vulnerable Driver (BYOVD) .
Διάγραμμα επίθεσης εκ των έσω
Πηγή: Crowdstrike
Το Crowdstrike έχει δει πολλές περιπτώσεις εκμετάλλευσης του CVE-2017-0213 που επηρέασαν μια εταιρεία λιανικής στην Ευρώπη, όπου ένας υπάλληλος κατέβασε ένα exploit μέσω WhatsApp για να εγκαταστήσει το uTorrent και να παίξει παιχνίδια. Μια άλλη υπόθεση αφορά έναν απολυθέντα υπάλληλο μιας οντότητας μέσων ενημέρωσης στις ΗΠΑ
Η εκμετάλλευση του PwnKit παρατηρήθηκε από έναν υπάλληλο μιας αυστραλιανής εταιρείας τεχνολογίας που προσπάθησε να αποκτήσει δικαιώματα διαχείρισης για σκοπούς αντιμετώπισης προβλημάτων υπολογιστή.
Ένα παράδειγμα εκμετάλλευσης CVE-2015-1701 αφορά έναν υπάλληλο εταιρείας τεχνολογίας των ΗΠΑ που προσπάθησε να παρακάμψει υπάρχοντα στοιχεία ελέγχου για να εγκαταστήσει μια μη εξουσιοδοτημένη εικονική μηχανή Java.
Ενώ σχεδόν όλα αυτά τα περιστατικά εσωτερικών απειλών δεν θα θεωρούνται κακόβουλες επιθέσεις, εισάγουν κίνδυνο τροποποιώντας τον τρόπο λειτουργίας μιας
συσκευή
ς ή εκτελώντας δυνητικά κακόβουλα ή ανασφαλή προγράμματα στο δίκτυο.
Τα λάθη των εσωτερικών πληροφοριών εισάγουν ρίσκο
Σχεδόν τα μισά από τα εμπιστευτικά περιστατικά που καταγράφηκαν από το Crowdstrike αφορούν ακούσιες ατυχίες όπως η δοκιμή εκμετάλλευσης που βγαίνει εκτός ελέγχου, η εκτέλεση επιθετικών εργαλείων ασφαλείας χωρίς τα κατάλληλα μέτρα προστασίας και η λήψη μη ελεγχόμενου κώδικα.
Για παράδειγμα, η CrowdStrike λέει ότι ορισμένα περιστατικά προκλήθηκαν από επαγγελματίες ασφαλείας που δοκιμάζουν εκμεταλλεύσεις και κιτ εκμετάλλευσης απευθείας σε έναν σταθμό εργασίας παραγωγής και όχι μέσω μιας εικονικής μηχανής που είναι τμηματοποιημένη από το υπόλοιπο δίκτυο.
Οι αναλυτές αναφέρουν ότι οι περισσότερες περιπτώσεις αυτού του είδους αφορούν εργαλεία όπως το Metasploit Framework και το ElevateKit, ενώ τα τρωτά σημεία που εισάγονται πιο συχνά ως αποτέλεσμα απρόσεκτων δραστηριοτήτων είναι τα ακόλουθα:
-
CVE-2021-42013
: Ευπάθεια διέλευσης διαδρομής στον Apache HTTP Server 2.4.49 και 2.4.50. -
CVE-2021-4034
(PwnKit)
: Ευπάθεια εκτός ορίων στην υπηρεσία συστήματος Polkit. -
CVE-2020-0601
: Ευπάθεια πλαστογράφησης στο Windows CryptoAPI. -
CVE-2016-3309
: Ζήτημα κλιμάκωσης προνομίων στον πυρήνα των Windows. -
CVE-2022-21999
: Ανύψωση ευπάθειας προνομίου στο Windows Print Spooler.
Η εισαγωγή αυτών των ελαττωμάτων στα εταιρικά δίκτυα μπορεί να αυξήσει τον συνολικό κίνδυνο ασφάλειας παρέχοντας στους παράγοντες απειλών που έχουν ήδη θέση στο δίκτυο πρόσθετους φορείς για εκμετάλλευση.
Ωστόσο, ακόμη πιο σημαντικό, δεν είναι ασυνήθιστο για τους παράγοντες απειλών να δημιουργούν πλαστά εκμεταλλεύσεις απόδειξης ιδέας ή εργαλεία ασφαλείας που εγκαθιστούν κακόβουλο λογισμικό σε συσκευές.
Για παράδειγμα, τον Μάιο, παράγοντες απειλών διένειμαν πλαστά εκμεταλλεύσεις απόδειξης των Windows που μόλυναν συσκευές με την κερκόπορτα Cobalt Strike.
Σε μια άλλη επίθεση, το Rapid7 ανακάλυψε ότι οι παράγοντες απειλών διένειμαν ψεύτικα PoC για μηδενικές εκμεταλλεύσεις που εγκατέστησαν κακόβουλο λογισμικό Windows και Linux.
Και στα δύο σενάρια, η εγκατάσταση του πλαστού exploit σε έναν σταθμό εργασίας θα επέτρεπε την αρχική πρόσβαση σε ένα εταιρικό δίκτυο, το οποίο θα μπορούσε να οδηγήσει σε κατασκοπεία στον κυβερνοχώρο, κλοπή δεδομένων ή επιθέσεις
ransomware
.
VIA:
bleepingcomputer.com