Privilege Escalation – Das Erlangen neuer Rechte!

Im Rahmen einer Privilege Escalation versucht der Angreifer mehr Rechte auf dem Zielsystem zu erlangen. Solch eine Rechteausweitung kann notwendig sein, um weitere Schadsoftware nachladen zu können oder andere Prozesse zu starten, für die der einfache Benutzer keine Rechte besitzt. In einem aktuellen Fall kann ein Angreifer über eine Konfigurationssoftware einer Maus Admin-Rechte erlangen.

Privilege Escalation – Ausbruch aus dem Benutzerprofil

In einem Cyberangriff gibt es mehrere Phasen, die unter anderem in der Cyber Kill Chain dargestellt werden. Die sieben dargestellten Schritte der Cyber Kill Chain enthalten jedoch nicht die Privilege Escalation. Zeitlich gesehen befindet sich die Privilege Escalation im Schritt vier der Cyber Kill Chain. Die Durchführung der Privilege Escalation beruht meist auf dem Ausnutzen einer Schwachstelle, welche die Rechteausweitung ermöglicht. Solch eine Schwachstelle muss ausgenutzt werden, damit der Angreifer System-Rechte erhalten kann und weiteren Schaden anrichten kann.

Die Rechteausweitung ist in vielen Angriffsszenarien notwendig, da der Benutzer, über den die Schadsoftware installiert wird, bspw. durch eine Phishing-Mail, meist keine System-Rechte besitzt, sondern lediglich ein angepasstes Benutzerprofil. Diese angepassten Benutzerprofile besitzen nur die Rechte, die für die alltägliche Arbeit des Benutzers notwendig sind. Daher kann ein Angreifer über solche Profile häufig keine Schadsoftware nachladen oder eine Verbindung zu einem Command and Control Server aufbauen.

Rechteausweitung über Installationsprozesse

Technisch gesehen versucht der Angreifer sich an einen Prozess zu hängen, der die notwendigen Rechte besitzt, die der Angreifer benötigt. Solche Prozesse könnten aus Installations- oder Update-Prozessen bestehen, da diese die notwendigen Rechte besitzen, aus externen Quellen Daten herunterzuladen.

Privilege Escalation ist jedoch nicht nur aus der Ferne möglich, sondern auch vor Ort. Hat ein Angreifer Zugriff auf den Computer eines Mitarbeiters, kann er versuchen, dort Schadsoftware zu installieren. Besitzt das Benutzerprofil nicht die notwendigen Rechte, um die Schadsoftware installieren zu können, muss der Angreifer vor Ort eine Privilege Escalation durchführen. Dies kann mit Hacking-Hardware wie bspw. dem Rubber Ducky, oder anderen Geräten versucht werden.

Ein aktuelles Beispiel, indem Privilege Escalation über eine Maus möglich ist, ist bei Maus und Tastaturen von Razer aufgetreten.

Razer-Geräte für Privilege Escalation

Um auf einem fremden Windows 10 Computer System-Rechte zu erlangen, benötigt ein Angreifer lediglich ein Razer-Gerät und Zugriff auf ein Benutzerprofil auf diesem Gerät. Ein Angriffsszenario könnte so aussehen, dass der Angreifer sich als Handwerker in einem großen Unternehmen ausgibt und nach ungesperrten aber Arbeits-PCs Ausschau hält. Sobald ein Mitarbeiter seinen Arbeitsplatz verlässt, jedoch seinen Computer nicht sperrt, kann der Angreifer mit der Privilege Escalation starten.

Durch eine Schwachstelle in der Synapse-Software, die nach einem ersten Anschluss eines Razer-Geräts automatisch installiert wird, kann der Angreifer System-Rechte erlangen. Ein IT-Sicherheitsforscher hat es sogar geschafft, diesen Angriff mit einem Android-Smartphone zu reproduzieren, indem das Smartphone ausgibt ein Razer-Gerät zu sein.

Somit zeigt der Twitter-Nutzer, dass ein Angreifer bereits mit einem unscheinbar wirkenden Smartphone Privilege Escalation ausüben kann. Das Razer Unternehmen ist sich dieser Schwachstelle bewusst und arbeitet zum Zeitpunkt der Erstellung dieses Beitrags an einem Sicherheitsupdate.

Dieser Angriff ist nur möglich, wenn ein Benutzer seinen Arbeitsplatz ungesperrt hinterlässt oder Fremden einen Zugang zu dem eigenen PC gibt. Diese Angriffsszenarien sind leicht zu verhindern, indem Mitarbeiter:innen daran erinnert werden, den Computer zu sperren, sobald man sich vom Arbeitsplatz entfernt.