L’étendue des autorisations associées à un utilisateur dépend du niveau de privilèges de son rôle. Voici quelques rôles privilégiés d’une organisation : administrateurs système, gestionnaires de la paie, techniciens d’assistance informatique et administrateurs réseau ou de base de données. Ces employés utilisent des comptes privilégiés pour accéder à leurs terminaux cibles respectifs. Les comptes privilégiés offrant un accès élevé à des systèmes vitaux, l’affectation d’autorisations précises au niveau utilisateur ou groupe garantit un accès sécurisé à des terminaux privilégiés. Toutefois, si ces comptes sont exposés à un utilisateur malveillant ou un attaquant externe, cela peut ruiner la sécurité globale de l’entreprise.
L’élévation de privilèges peut s’effectuer pour un rôle à tout niveau de droits. Il existe deux méthodes :
Élévation de privilèges horizontale permettant à un utilisateur d’obtenir des autorisations d’un autre ayant les mêmes privilèges pour avoir accès à des données personnelles. Le fait est qu’il peut s’agir d’un compte d’utilisateur standard ayant des privilèges de base que le pirate doit élever pour effectuer des actions privilégiées.
Par exemple, un employé utilisant les identifiants d’un autre pour accéder à des données sensibles vise à se faire passer pour un utilisateur ayant les mêmes privilèges. Bien qu’ayant les mêmes autorisations d’accès, l’usurpation d’identité permet à l’attaquant d’accéder aux données personnelles de l’employé. Ce type d’élévation s’effectue en général via des techniques d’ingénierie sociale.
Élévation de privilèges verticale consistant pour un utilisateur ayant des autorisations non administratives à avoir accès à des droits d’administrateur, sinon indisponibles. Cela donne un accès direct à des ressources d’entreprise sensibles sans avoir à demander des privilèges de compte élevés.
Par exemple, un utilisateur ayant des privilèges standards obtenant accès à un compte doté de privilèges assez élevés peut afficher et modifier des données confidentielles de chaque employé. Il s’agit d’une action privilégiée ne relevant pas normalement d’un utilisateur standard.
Les comptes privilégiés ouvrent la voie aux données sensibles et toute sécurité inadéquate risque de nuire à la rentabilité et la réputation de l’entreprise. Lors d’une attaque par élévation de privilèges, un pirate vise initialement des comptes d’utilisateur standards pour acquérir un strict minimum de privilèges. Mais, ces comptes ne suffisent pas pour effectuer des opérations exigeant des privilèges supérieurs. Comment un acteur malveillant accède-t-il donc aux zones sensibles de l’organisation ?
Considérons l’exemple suivant : lorsqu’un non-administrateur reçoit des privilèges temporaires pour effectuer des actions privilégiées comme l’ajout ou la suppression d’utilisateurs, l’exécution de commandes privilégiées ou la génération de rapports sur les clients, il faut révoquer les autorisations d’accès dès la tâche prévue achevée. Ces autorisations font l’objet d’attaques de phishing ou d’ingénierie sociale et si l’une d’elles aboutit, un utilisateur non autorisé peut accéder au réseau. En outre, un grand nombre de comptes privilégiés accroît les risques que l’un d’eux soit ciblé pour mener de mauvaises actions sur le réseau d’entreprise.
Les comptes de domaine des ressources Windows hébergent toutes les données sensibles et sont considérés comme des comptes super administrateur. Si un attaquant a accès à l’un de ces comptes, il jouit d’un contrôle direct sur les niveaux d’accès supérieurs. Cela permet de déployer un malware dans Active Directory et prendre contrôle de toutes les ressources vitales de l’entreprise.
Par exemple, des sessions active de machines Windows utilisent des jetons d’accès qui informent sur le rôle et les privilèges du propriétaire. La majorité des attaques par élévation de privilèges Windows exploitent ces jetons d’accès pour usurper l’identité d’un utilisateur connecté et effectuer des actions privilégiées.
Un attaquant cherchant à obtenir une élévation de privilèges Linux tente d’abord de décrypter les identifiants de l’utilisateur root comme il possède les droits les plus élevés d’accès aux données. Sinon, il peut viser des comptes ayant des privilèges d’accès sudo (les plus élevés pour des ressources) pour naviguer latéralement dans le réseau d’entreprise. Il devient alors facile de violer des données confidentielles.
Par exemple, un acteur malveillant cible initialement le shell Linux pour effectuer une élévation de privilèges. Il utilise ensuite des techniques d’énumération pour lancer des opérations de base sur des systèmes pour découvrir une voie vers des privilèges sudo et usurper l’identité d’un utilisateur root pour mener son activité malveillante.
Les comptes privilégiés donnent les clés du royaume. Si plusieurs utilisateurs les partagent et que leur emploi ne fait l’objet d’aucun suivi, le risque d’exploitation par un acteur malveillant grandit. Les acteurs malveillants tentant d’élever des privilèges cherchent à :
Ces portes dérobées, si le pirate les déploie bien, permettent de contourner les canaux d’autorisation par défaut et d’élever aisément les privilèges.
Pour prévenir les attaques par élévation de privilèges, il faut déployer de bons outils de gestion de l’accès. Voici quelques bonnes pratiques de gestion de l’accès pour éviter l’élévation de privilèges :
Un processus continu s’impose pour parvenir à un solide état de sécurité. La réduction de la surface d’attaque aide à mieux atténuer le risque d’une violation de données.
ManageEngine PAM360 permet de combattre les attaques par élévation de privilèges avec un accès à privilège minimum précis, un accès basé sur le rôle ou selon des stratégies, des notes de confiance dynamiques, l’élévation de privilèges juste-à-temps et des contrôles d’application et de commande. PAM360 offre des contrôles Zero Trust complets pour veiller à des privilèges permanents nuls et protège les pratiques d’accès privilégié contre les nouvelles menaces.