Privilege escalation: 6 modi per prevenire gli attacchi 

pittogramma Zerouno

TechTarget TechnologyHowTo

Privilege escalation: 6 modi per prevenire gli attacchi 

Per indicare le specifiche di accesso alla rete, sia per gli utenti che per i dispositivi, si definiscono i privilegi. Quando un criminale informatico riesce a metterci mano, i danni possono essere enormi, ma c’è modo di evitare che accada. Ce ne sono almeno sei, anzi, tutti finalizzati a garantire la network security.

Pubblicato il 20 Dic 2022

di Marta Abbà - Fonte TechTarget

Le impostazioni di configurazione, le diverse funzionalità e l’enorme quantità di dati oggi nelle mani delle aziende non possono restare accessibili a tutti, indiscriminatamente. Per limitarne e gestirne l’accesso, i software e i sistemi operativi utilizzano un approccio basato sui privilegi, fondamentali in ogni strategia di sicurezza. Rappresentano uno strumento per controllare come ogni utente può interagire con un sistema o un’applicazione e con le risorse a essi associate. Si può infatti decidere di concedere l’accesso solo per effettuare azioni di base – come l’accesso alle applicazioni per l’ufficio – oppure assegnare privilegi da amministratore, concedendo potenzialmente il controllo completo del sistema.

Con questa premessa, è facile immaginare quanto i criminali informatici siano interessati alla gestione dei privilegi. Il loro obiettivo è sferrare attacchi di escalation, ottenendo privilegi aggiuntivi che li facciano accedere a sistemi e applicazioni protetti all’interno di una rete o di un servizio online.

Tipologie di attacchi di privilege escalation

Guardando ai diversi possibili attacchi di privilege escalation, si possono individuare due grandi categorie:

  • Privilege Escalation orizzontale. L’aggressore ottiene l’accesso a un account di un utente o di un dispositivo esistente, utilizzandolo poi per entrare in un altro. Non è detto che, con questa tattica, il malintenzionato riesca a ottenere nuovi privilegi. Anche il solo poter raccogliere dati personali e altre risorse dell’obiettivo, però, gli consente di procurare ingenti danni. In alcuni casi le vulnerabilità nei siti web possono consentire attacchi come il cross-site scripting e il cross-site request forgery, che permettono di ottenere l’accesso all’account tramite le credenziali o i dati di autenticazione.
  • Privilege Escalation verticale. Sfruttando configurazioni errate, vulnerabilità, password deboli e controlli di accesso inadeguati all’interno del sistema, i criminali riescono a ottenere le autorizzazioni da amministratore. Un “bel colpo”, perché sono la chiave per accedere ad altre risorse della rete. Questa tipologia rappresenta solitamente la seconda fase di un attacco informatico, quella in cui si ottengono i privilegi necessari per installare malware e ransomware, modificare le impostazioni di sistema e rubare dati. Conquistata una posizione di potere, gli aggressori riescono anche a cancellare i registri per far passare inosservata la loro presenza sulla rete e prenderne interamente il controllo.

Come funzionano gli attacchi di escalation dei privilegi

Esistono diversi metodi per sferrare attacchi di privilege escalation. Alcuni, come i primi due elencati in seguito, sono comunemente usati in quelli orizzontali. A seconda dell’obiettivo finale dell’attaccante, però, possono abilitare anche attacchi verticali.

WHITEPAPER
Gestione documentale per CDA: più semplicità e sicurezza su mobile
Amministrazione/Finanza/Controllo
Digital Transformation
  • Social Engineering. Gli attacchi basati su questo metodo, come il phishing, il watering hole e il pharming, inducono con l’inganno gli utenti a divulgare le loro credenziali. Non richiedono campagne complesse e riescono comunque ad aggirare le difese di sicurezza del sistema.
  • Credenziali deboli. Le password deboli, riutilizzate o condivise, sono un invito per l’aggressore che vuole ottenere l’accesso non autorizzato a un account. Se raggiunge quello con privilegi da amministratore, il rischio di compromissione della rete è immediato e molto alto.
  • Configurazioni errate del sistema. Quando le impostazioni di sicurezza delle risorse di rete non sono state bloccate, gli aggressori riescono a ottenere privilegi maggiori di quelli previsti. Un esempio sono i bucket di storage su cloud con accesso pubblico. Nel mondo IoT, una configurazione scorretta delle difese di rete, le password predefinite degli account importanti e le impostazioni predefinite delle applicazioni appena installate, sono le tipiche situazioni in cui l’aggressore riesce a ottenere facilmente dei privilegi strategici.
  • Malware. Le minacce informatiche, come keylogger, memory scrapers e sniffer di rete, consentono il furto di password. Una volta all’interno della rete, il malware può scatenare attacchi molto più pericolosi, se l’account compromesso lo permette.
  • Vulnerabilità del sistema. Possono verificarsi nella progettazione, nell’implementazione o nella configurazione di un sistema. In ciascuno di questi casi permettono ai criminali di ottenere i privilegi dell’account, eseguendo codice dannoso per ottenere l’accesso alla shell.

6 modi per prevenire un attacco di privilege escalation

Come ogni attacco informatico, l’escalation dei privilegi sfrutta le vulnerabilità dei servizi e delle applicazioni in esecuzione su una rete, partendo da quelle con controlli di accesso deboli. Si tratta di una fase chiave di un attacco informatico completo, i controlli di prevenzione devono quindi essere solidi e regolari.

Esistono inoltre alcune best practice per garantire la protezione della rete, eccone sei.

1. Mantenere gli account aggiornati con una gestione completa dei più “potenti”

Il principio del minimo privilegio limita i diritti di accesso degli utenti e dei servizi al minimo indispensabile e riduce le possibilità di ottenere privilegi da amministratore.

Se il team di sicurezza e le Risorse Umane collaborano, possono evitare un inutile aumento dei privilegi. Importante, anche, che l’inventario degli account utente registri accuratamente chi, cosa, dove e perché esiste un account e i privilegi concessi. La riduzione del numero e della portata degli account privilegiati, e il monitoraggio della loro attività, servono anche per segnalare qualsiasi potenziale abuso.

2. Patch e aggiornamento del software

Limitare le possibilità per un aggressore di trovare vulnerabilità sfruttabili è il modo migliore per fermare qualsiasi tipo di attacco informatico. Serve una policy completa di gestione delle patch che punti soprattutto sull’aggiornamento continuo dei browser e dei software antivirus.

3. Eseguire scansioni delle vulnerabilità

Se effettuate regolarmente per tutti i componenti dell’infrastruttura IT, le scansioni sono il modo per tenere il più possibile l’aggressore fuori dalla rete. Questa pratica, infatti, permette di individuare le configurazioni errate, le modifiche non documentate al sistema, i sistemi operativi e le applicazioni non patchati o non sicuri e altre falle, prima che i potenziali aggressori possano sfruttarle.

4. Monitorare il traffico e il comportamento della rete

Quando un aggressore riesce a ottenere le credenziali di un utente, la sua presenza può passare inosservata, a meno che la rete non sia costantemente monitorata per rilevare il traffico insolito o il comportamento degli utenti. I software di analisi del comportamento degli utenti e delle entità creano prima di tutto una “linea di base” del comportamento legittimo. Un riferimento per poi individuare e segnalare attività anomale e indicare potenziali compromissioni.

5. Istituire una policy di password forti

Le policy sono il modo più efficace per prevenire un attacco orizzontale di escalation dei privilegi, soprattutto se combinate con l’autenticazione a più fattori (MFA). Esistono anche strumenti di password management, per aiutare gli utenti a generare e memorizzare in modo sicuro password uniche e complesse, che soddisfino le regole dei criteri di sicurezza. Tutti gli account con privilegi da amministratore dovrebbero richiedere l’MFA, ricordando che le credenziali devono essere modificate regolarmente.

6. Condurre un’attività di sensibilizzazione sulla sicurezza

Le persone sono di solito l’anello più debole della sicurezza di un’organizzazione. Possono involontariamente favorire un attacco di escalation utilizzando password deboli, cliccando su link o allegati dannosi, e ignorando gli avvisi relativi a siti web pericolosi. Regolari corsi di formazione sulla sicurezza sono l’occasione per spiegare le nuove minacce e aggiornare tutti sulle policy di sicurezza adottate.

Gli attacchi di privilege escalation sono tra i più gravi che un’azienda possa subire. Un piano di emergenza ben preparato è fondamentale. Se viene scoperto un incidente, l’account compromesso deve essere rapidamente isolato, la sua password deve essere cambiata e quindi disattivata. Il team di sicurezza deve poi condurre un’indagine approfondita per scoprire l’entità dell’intrusione e identificare le risorse compromesse.

Valuta questo articolo

La tua opinione è importante per noi!

A

Marta Abbà - Fonte TechTarget

Argomenti trattati

Approfondimenti

R
Ransomware

Articolo 1 di 5