Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Privilege Escalation – Das Erlangen neuer Rechte!

M.Sc. Jan Hörnemann

Im Rahmen einer Privilege Escalation versucht der Angreifer mehr Rechte auf dem Zielsystem zu erlangen. Solch eine Rechteausweitung kann notwendig sein, um weitere Schadsoftware nachladen zu können oder andere Prozesse zu starten, für die der einfache Benutzer keine Rechte besitzt. In einem aktuellen Fall kann ein Angreifer über eine Konfigurationssoftware einer Maus Admin-Rechte erlangen.

Privilege Escalation – Ausbruch aus dem Benutzerprofil

In einem Cyberangriff gibt es mehrere Phasen, die unter anderem in der Cyber Kill Chain dargestellt werden. Die sieben dargestellten Schritte der Cyber Kill Chain enthalten jedoch nicht die Privilege Escalation. Zeitlich gesehen befindet sich die Privilege Escalation im Schritt vier der Cyber Kill Chain. Die Durchführung der Privilege Escalation beruht meist auf dem Ausnutzen einer Schwachstelle, welche die Rechteausweitung ermöglicht. Solch eine Schwachstelle muss ausgenutzt werden, damit der Angreifer System-Rechte erhalten kann und weiteren Schaden anrichten kann.

Die Rechteausweitung ist in vielen Angriffsszenarien notwendig, da der Benutzer, über den die Schadsoftware installiert wird, bspw. durch eine Phishing-Mail, meist keine System-Rechte besitzt, sondern lediglich ein angepasstes Benutzerprofil. Diese angepassten Benutzerprofile besitzen nur die Rechte, die für die alltägliche Arbeit des Benutzers notwendig sind. Daher kann ein Angreifer über solche Profile häufig keine Schadsoftware nachladen oder eine Verbindung zu einem Command and Control Server aufbauen.

Rechteausweitung über Installationsprozesse

Technisch gesehen versucht der Angreifer sich an einen Prozess zu hängen, der die notwendigen Rechte besitzt, die der Angreifer benötigt. Solche Prozesse könnten aus Installations- oder Update-Prozessen bestehen, da diese die notwendigen Rechte besitzen, aus externen Quellen Daten herunterzuladen.

Privilege Escalation ist jedoch nicht nur aus der Ferne möglich, sondern auch vor Ort. Hat ein Angreifer Zugriff auf den Computer eines Mitarbeiters, kann er versuchen, dort Schadsoftware zu installieren. Besitzt das Benutzerprofil nicht die notwendigen Rechte, um die Schadsoftware installieren zu können, muss der Angreifer vor Ort eine Privilege Escalation durchführen. Dies kann mit Hacking-Hardware wie bspw. dem Rubber Ducky, oder anderen Geräten versucht werden.

Ein aktuelles Beispiel, indem Privilege Escalation über eine Maus möglich ist, ist bei Maus und Tastaturen von Razer aufgetreten.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Razer-Geräte für Privilege Escalation

Um auf einem fremden Windows 10 Computer System-Rechte zu erlangen, benötigt ein Angreifer lediglich ein Razer-Gerät und Zugriff auf ein Benutzerprofil auf diesem Gerät. Ein Angriffsszenario könnte so aussehen, dass der Angreifer sich als Handwerker in einem großen Unternehmen ausgibt und nach ungesperrten aber Arbeits-PCs Ausschau hält. Sobald ein Mitarbeiter seinen Arbeitsplatz verlässt, jedoch seinen Computer nicht sperrt, kann der Angreifer mit der Privilege Escalation starten.

Durch eine Schwachstelle in der Synapse-Software, die nach einem ersten Anschluss eines Razer-Geräts automatisch installiert wird, kann der Angreifer System-Rechte erlangen. Ein IT-Sicherheitsforscher hat es sogar geschafft, diesen Angriff mit einem Android-Smartphone zu reproduzieren, indem das Smartphone ausgibt ein Razer-Gerät zu sein.

Somit zeigt der Twitter-Nutzer, dass ein Angreifer bereits mit einem unscheinbar wirkenden Smartphone Privilege Escalation ausüben kann. Das Razer Unternehmen ist sich dieser Schwachstelle bewusst und arbeitet zum Zeitpunkt der Erstellung dieses Beitrags an einem Sicherheitsupdate.

Dieser Angriff ist nur möglich, wenn ein Benutzer seinen Arbeitsplatz ungesperrt hinterlässt oder Fremden einen Zugang zu dem eigenen PC gibt. Diese Angriffsszenarien sind leicht zu verhindern, indem Mitarbeiter:innen daran erinnert werden, den Computer zu sperren, sobald man sich vom Arbeitsplatz entfernt.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)