特权提升漏洞是企业内部人员在网络上进行未经授权的活动时最常见的漏洞,无论是出于恶意目的还是以危险的方式下载有风险的工具。
Crowdstrike 根据 2021 年 1 月至 2023 年 4 月期间收集的数据发布的一份报告显示,内部威胁正在上升,而利用权限升级缺陷是未经授权活动的重要组成部分。
该报告称,该公司记录的内部威胁中有 55% 依赖于权限升级漏洞,而其余 45% 通过下载或滥用攻击性工具无意中引入了风险。
内部人士通常会反对他们的雇主,因为他们
出于恶意或由于与主管的分歧
而获得了经济奖励
。
当事件不是针对公司的恶意攻击(例如利用漏洞安装软件或执行安全测试)时,CrowdStrike 还将事件归类为内部威胁。
然而,在这些情况下,尽管它们不用于攻击公司,但它们通常以危险的方式使用,可能会将威胁或恶意软件引入威胁行为者可能滥用的网络。
Crowdstrike 发现,从目标组织内部发起的攻击,恶意事件的平均成本为 648000 美元,非恶意事件的平均成本为 485000 美元。到 2023 年,这些数字可能会更高。
除了内部威胁带来的巨大财务成本之外,Crowdstrike
还强调了品牌和声誉损害的间接影响。
典型的内部攻击
Crowdstrike 解释说,利用权限升级漏洞来获取管理权限对于许多内部攻击至关重要,因为在大多数情况下,流氓内部人员都会从对其网络环境的低级别访问开始。
更高的权限允许攻击者执行诸如下载和安装未经授权的软件、擦除日志,甚至使用需要管理员权限的工具诊断计算机上的问题等操作。
根据 CrowdStrike 的观察,流氓内部人员最常利用的本地权限升级缺陷如下:
- CVE-2017-0213:Windows 缺陷允许通过 COM 基础设施利用提升权限。
- CVE-2022-0847 ( DirtyPipe
):Linux 内核管道操作管理缺陷。 - CVE-2021-4034 ( PwnKit
):影响 Polkit 系统服务的 Linux 缺陷。 - CVE-2019-13272:与内核进程中用户权限处理不当相关的 Linux 漏洞。
- CVE-2015-1701:涉及内核模式驱动程序“win32k.sys”的 Windows 错误,用于未经授权的代码执行。
- CVE-2014-4113:同样针对“win32k.sys”,但涉及不同的利用方法。
上述缺陷已列在 CISA 的已知利用漏洞目录 (KEV) 中,因为它们历史上曾被威胁行为者用于攻击。
即使系统已针对这些缺陷进行了修补,内部人员也可以通过其他方式获得提升的权限,例如以提升的权限运行的应用程序中的 DLL 劫持缺陷、不安全的文件系统权限或服务配置,或者自带易受攻击的驱动程序 (BYOVD) 攻击
。
Crowdstrike 发现多起影响欧洲一家零售公司的 CVE-2017-0213 漏洞利用案例,该公司的一名员工通过 WhatsApp 下载漏洞利用程序来安装 uTorrent 并玩游戏。
另一起案件涉及美国一家媒体实体的一名被解雇的员工。
一家澳大利亚科技公司的一名员工发现了 PwnKit 漏洞,该员工试图获得用于计算机故障排除的管理权限。
CVE-2015-1701 漏洞利用的一个示例涉及一名美国科技公司员工,该员工试图绕过现有控制来安装未经授权的 Java 虚拟机。
虽然几乎所有这些内部威胁事件都不会被视为恶意攻击,但它们会通过修改设备的运行方式或可能在网络上运行恶意或不安全的程序来引入风险。
内部错误会带来风险
Crowdstrike 记录的内部事件中近一半涉及无意的事故,例如漏洞测试失控、在没有适当保护措施的情况下执行攻击性安全工具以及下载未经审查的代码。
例如,CrowdStrike 表示,一些事件是由安全专业人员直接在生产工作站上测试漏洞和漏洞工具包引起的,而不是通过与网络其余部分隔离的虚拟机。
分析师报告称,大多数此类案例涉及 Metasploit Framework 和 ElevateKit 等工具,而最常因粗心活动而引入的漏洞如下:
- CVE-2021-42013:Apache HTTP Server 2.4.49 和 2.4.50 中的路径遍历漏洞。
- CVE-2021-4034 (PwnKit):Polkit 系统服务中的越界漏洞。
- CVE-2020-0601:Windows CryptoAPI 中的欺骗漏洞。
- CVE-2016-3309:Windows 内核中的权限提升问题。
- CVE-2022-21999:Windows Print Spooler 中的特权提升漏洞。
将这些缺陷引入企业网络可能会为已经在网络中站稳脚跟的威胁行为者提供额外的利用途径,从而增加整体安全风险。
然而,更重要的是,威胁行为者创建虚假的概念验证漏洞或在设备上安装恶意软件的安全工具并不罕见。
例如,5 月份,威胁行为者分发了虚假的 Windows 概念验证漏洞
,利用 Cobalt Strike 后门感染设备。
在另一次攻击中,Rapid7 发现威胁行为者正在分发虚假 PoC,用于安装 Windows 和 Linux 恶意软件的零日攻击
。
在这两种情况下,在工作站上安装虚假漏洞将允许初始访问公司网络,这可能导致网络间谍、数据盗窃或勒索软件攻击。
