O que é a elevação de privilégios?

Quanto mais as organizações dependem de capacidades de trabalho remoto e grandes sistemas de nuvem, mais a vulnerabilidade delas a ciber ataques aumenta. Os ataques de elevação de privilégios são uma ameaça prevalente e complexa, e qualquer rede pode ser um alvo.

Como qualquer ativo pode se tornar um ponto de entrada para invasores, as organizações precisam de várias estratégias de defesa. Entender o processo de elevação de privilégios é uma etapa inicial crucial na prevenção e defesa contra ataques de rede de grande escala.

O que é a elevação de privilégios?

Um ataque de elevação de privilégios é um ciber ataque desenvolvido para ter acesso privilegiado a um sistema. Os invasores se aproveitam de comportamentos humanos, falhas de design ou da negligência de sistemas operacionais ou aplicações da Web. Isso está intimamente ligado ao movimento lateral — táticas pelas quais um cibercriminoso se infiltra cada vez mais em uma rede em busca de ativos de alto valor.

O resultado é um usuário, interno ou externo, com privilégios não autorizados no sistema. Dependendo da extensão do ataque, atores maliciosos podem causar danos de pequena ou grande magnitude. Isso pode variar de um simples acesso não autorizado a e-mails até um ataque de ransomware em grandes volumes de dados. Se não forem detectados, esses ataques podem evoluir para Ameaças Persistentes Avançadas (APTs) aos sistemas operacionais.

Como a elevação de privilégios funciona

Adversários geralmente começam seus processos de elevação de privilégios usando uma técnica de engenharia social que explora a manipulação do comportamento humano. A mais comum é o phishing — comunicações eletrônicas que contêm links maliciosos. Depois que um invasor consegue comprometer a conta de um indivíduo, a rede inteira da organização fica vulnerável.

Os invasores procuram pontos fracos nas defesas organizacionais que possibilitem a entrada inicial ou a obtenção de privilégios básicos por meio do roubo de credenciais. Como detalhado abaixo, a exploração dessas vulnerabilidades permite uma elevação de privilégios ainda maior. Uma estratégia eficaz portanto, devem combinar técnicas de prevenção, detecção e ação rápida.

Técnicas de elevação de privilégios

Uma técnica de elevação de privilégios pode ser executada de forma local ou remota. A elevação de privilégios local é realizada na localização em si, geralmente por alguém de dentro da organização. O escalonamento remoto, por outro lado, pode começar de praticamente qualquer lugar. Para um invasor determinado, as duas abordagens podem ser eficazes.

Tipos principais de elevação de privilégios

Os ataques são divididos em dois tipos principais:

Nos ataques de elevação de privilégios horizontal (ou tomada de conta), os invasores têm acesso privilegiado a uma conta de usuário padrão com permissões de nível inferior. O invasor pode roubar o nome de usuário e a senha de um funcionário, ganhando acesso a e-mails, arquivos e aplicações da Web ou sub-redes que essa conta possa acessar. Depois de estabelecer essa base de apoio, o invasor pode se mover horizontalmente pela rede, expandindo sua esfera de acesso privilegiado entre contas com privilégios semelhantes.

A elevação de privilégios vertical (ou escalonamento de privilégios) começa do mesmo jeito que o ataque anterior, com o invasor usando a base de apoio estabelecida para tentar subir na hierarquia, obtendo acesso a contas com privilégios mais altos. Por exemplo, o ataque pode ter como alvo contas com privilégios de administrador ou permissões de acesso root, tais como as de um profissional de suporte de TI ou um administrador de sistemas. Uma conta com privilégios pode ser usada para invadir outras contas.

Diferentes entre a elevação de privilégios vertical e horizontal

Em suma, a elevação de privilégios horizontal consiste em obter acesso a contas com privilégios semelhantes aos da conta original. Por outro lado, a elevação de privilégio vertical envolve ganhar acesso a contas que têm mais privilégios e mais permissões. Um invasor pode começar comprometendo uma conta de usuário padrão e usá-la para enfraquecer contas de nível mais alto, tais como contas com privilégios de administrador.

Quanto mais privilégios uma conta tiver, mais danos imediatos um ator malicioso pode causar. Uma conta de suporte de TI, por exemplo, pode prejudicar contas de usuários padrão e se tornar um ponto de elevação vertical. Mas isso não reduz o perigo dos ataques horizontais, porque o risco para a rede aumenta de modo proporcional ao número de contas comprometidas. Cada ponto de vulnerabilidade representa uma oportunidade de os invasores abusarem do sistema, ou seja, tanto ataques horizontais quanto verticais exigem respostas rápidas.

Outros tipos de técnica de elevação de privilégios

Apesar dos avanços constantes nas táticas de invasão de contas e comprometimento de sistemas por parte dos ciber atacantes, o phishing continua sendo uma ameaça real e predominante. Os invasores criam mensagens enganosas, que podem ser genéricas ou altamente personalizadas, para induzir usuários a revelar credenciais, baixar malware ou expor redes a acessos não autorizados.

Outros tipos de ataques de engenharia social incluem o seguinte:

• Cybersquatting ou typosquatting: consiste em sequestrar um URL legítimo ou criar um URL falso para atrair cliques. Os invasores podem usar domínios de nível superior falsos (por exemplo, Amostra.co, .cm ou .org em vez de .com) ou errar na hora de escrever o nome (por exemplo., Amosta.com, Arnostra.com or Amostar.com).
• Exposição de senhas: pode ser que usuários exponham senhas voluntariamente, compartilhando com amigos ou colegas. No entanto, na maioria das vezes, os compartilhamentos acontecem sem querer. Pode ser que os funcionários deixem as senhas anotadas em lugares óbvios no ambiente de trabalho ou usem senhas fáceis de adivinhar.
• Exposição das perguntas secretas: usuários esquecerem suas senhas não é algo incomum. Quando isso acontece, eles geralmente têm que responder perguntas de segurança para criar senhas novas. Graças às mídias sociais, é muito fácil descobrir as respostas para essas perguntas. (Cuidado com quizzes virais ou posts que sugerem que você compartilhe "5 coisas que ninguém sabe sobre você”).
• Vishing ou “phishing de voz”: os invasores podem ligar para um funcionário e se passar por uma figura de autoridade, induzindo a pessoa a fornecer informações privilegiadas ou instalar malware.

Os adversários também podem se valer de técnicas que dependem de suporte tecnológico. Ataques de força bruta e dumping de credenciais são os mais comuns, mas existem muitos outros:

• Ataques de força bruta: são tentativas sistemáticas e automatizadas de decifrar senhas; podem ser especialmente eficazes em sistemas com requisitos de senha insuficientes.
• Dumping de credenciais: nesses ataques, os invasores obtêm acesso ilegal a uma rede e roubam várias credenciais de uma só vez.
• Shoulder surfing: consiste em roubar credenciais de um indivíduo por meio de uma rede não segura ou invadindo seus dispositivos.
• Ataques de dicionário: nesse tipo de ataque, atores maliciosos combinam palavras comuns para criar possíveis senhas com base no tamanho e nos requisitos de senha da rede.
• Password spraying: tipo de ataque que faz tentativas automatizadas para obter acesso a várias contas simultaneamente, usando senhas comuns (por exemplo., “senha” “qwerty,” “123456” e semelhantes).
• Stuffing de credenciais: nessa técnicas, os invasores tentam usar em um sistema as credenciais obtidas de um sistema diferente. Isso funciona porque muitas pessoas reutilizam senhas entre várias redes diferentes.
• Ataques pass the hash ou rainbow table: esse tipo de ataque envolve algoritmos que fazem o "hash" (ou seja, embaralham) senhas.
• Mudanças e redefinições de senha: invasores sofisticados podem abusar do processo de configuração de senhas. Eles podem até solicitar senhas novas se souberem responder as perguntas de segurança.

Tanto os servidores Windows quanto os sistemas operacionais Linux são suscetíveis a ataques. A elevação de privilégios no Windows frequentemente envolve manipular tokens, burlar o controle de contas do usuário ou sequestrar DLLs (Dynamic Link Libraries). Ataques comuns de elevação de privilégios em sistemas Linux incluem enumeração, exploit do kernel e uso do acesso Sudo para obter privilégios de root. O acesso proporcionado por credenciais roubadas é tão valioso que os invasores são altamente motivados a descobrir novas formas de elevar privilégios em sistemas Linux.

Estratégias de prevenção contra a elevação de privilégios

A prevenção exige vigilância constante e proativa. Qualquer empresa com uma rede pode ser vítima, já que cada usuário representa um certo grau de vulnerabilidade. Isso significa que sua estratégia de prevenção tem que ser abrangente e inclusiva, envolvendo todos os usuários do sistema na proteção do seu ciberespaço compartilhado. Quando a prevenção falha, medidas de detecção têm que ser implementadas com planos de ação prontos para serem executados rapidamente, para evitar consequências piores.

Como detectar um ataque de elevação de privilégios

A detecção da elevação de privilégios geralmente depende do reconhecimento de padrões, da busca por anomalias e da identificação de eventos incomuns. Infelizmente, devido à sua natureza imprevisível, pode ser extremamente difícil detectar a elevação de privilégios. Se um ator de ameaças entra em uma rede, mesmo que em um só ponto, ele pode manter acesso contínuo a ela. Depois de obter credenciais de qualquer tipo, o sistema passa a reconhecê-lo como um usuário legítimo. 

O tempo médio para detectar um ataque é difícil de estimar, porque ataques de elevação de privilégios podem se estender por semanas e até mesmo meses. O período entre o roubo inicial de uma credencial e a concretização do objetivo do invasor é chamado de "tempo de permanência". Tempos de permanência longos permitem que os invasores coletem informações, obtenham mais credenciais e elevem ainda mais os privilégios. Quando os invasores de fato entram em ação, eles geralmente já apagaram seus rastros (por exemplo, excluindo logs, mascarando endereços IP, etc.). 

Felizmente para as vítimas, ciber criminosos também cometem erros, se tornando rastreáveis e até mesmo caindo em armadilhas. No entanto, pouquíssimos — menos de meio por cento, de acordo com um relatório da Third Way — são presos. As organizações têm que estar preparadas não somente para detectar, mas também para neutralizar ameaças, e agir com a maior velocidade possível é fundamental. 

Exemplos de ataques de elevação de privilégios

Ataques de elevação de privilégios geralmente envolvem a infecção de uma rede ou aplicação com malware, uma categoria abrangente que engloba o seguinte:

• Worms: programas autossuficientes que se replicam e se propagam para outros computadores.
• Rootkits: conjuntos de software projetados para conceder aos invasores controle sobre uma rede ou aplicação. Depois de ativados, eles estabelecem um backdoor para distribuir ainda mais malware, podendo permanecer ativos por anos devido à dificuldade de detecção.
• Trojans: malwares disfarçados de software legítimo, criados para enganar usuários usando técnicas de engenharia social, como phishing ou o uso de websites falsos.
• Malware sem arquivo: diferente do malware tradicional, esse tipo não exige que o invasor instale códigos maliciosos no sistema alvo, o que o deixa ainda mais difícil de detectar.
• Spyware: software de vigilância que coleta informações sobre a atividade on-line dos usuários sem p conhecimento ou consentimento deles. (Adware é um tipo de spyware que monitora a atividade on-line do usuário para determinar os anúncios que serão exibidos.)
• Keyloggers: spyware que monitora a atividade do usuário, geralmente instalado através de phishing. Depois que são instalados, keyloggers podem roubar senhas, IDs de usuário, dados bancários e outras informações confidenciais.
• Scareware: programas (geralmente alertas pop-up) que induzem os usuários a acreditar que seus computadores estão infectados, os persuadindo a instalar um software antivírus falso que, na verdade, é malware.
• Ransomware: quando um adversário criptografa os dados de uma vítima e oferece uma chave de descriptografia em troca do pagamento de um resgate. Os invasores podem lançar esses tipos de ataques usando técnicas de engenharia social ou explorando vulnerabilidades não corrigidas e erros de configuração de políticas de segurança.

A importância de impedir a elevação de privilégios

A elevação de privilégios pode ser uma etapa em basicamente qualquer ciber ataque. Impedir essa ameaça assim que ela tem início é fundamental.

Como a prevenção da elevação de privilégios impacta a segurança das aplicações

Funcionários precisam de permissão para acessar centenas de aplicações, o que exige que as organizações implementem ferramentas seguras de gestão de identidades que minimizem a necessidade de múltiplas autenticações. Serviços de Single Sign-On (SSO), como o Active Directory Federation Service (ADFS), permitem que os usuários adotem um único conjunto de credenciais para acessar vários sistemas internos e externos. Isso economiza tempo e reduz o estresse, melhorando a eficiência e a experiência dos usuários, permitindo uma transição fluida entre as aplicações.

A desvantagem dessa abordagem é que se um invasor se apropriar de um único conjunto de credenciais, ele pode se movimentar livremente pela rede. As consequências da elevação de privilégios podem ser graves para usuários, clientes e empresas — impactando até a segurança na nuvem. Ataques podem gerar custos, mas, além disso, a perda de controle de informações confidenciais ou sistemas críticos pode afetar a integridade e a reputação de uma empresa.

De acordo com um estudo realizado pela IBM em 2021, o custo médio de um ciber ataque nos EUA atingiu o patamar de US$ 9,05 milhões (quase o dobro da média global de US$ 4,24 milhões). Em 2017, a Target concordou em pagar US$ 18,5 milhões após sofrer um ataque de cibersegurança de enorme repercussão. Na ocasião, os invasores abusaram de vulnerabilidades no sistema da Target, usando credenciais roubadas de um fabricante externo. Depois de acessarem um banco de dados de atendimento ao cliente, eles instalaram malware para capturar informações de contato, números de cartões de crédito e outros dados privados.

A elevação de privilégios também pode afetar pequenas organizações com orçamentos e medidas de cibersegurança insuficientes. Instituições de ensino são alvos frequentes. O Lincoln College, em Illinois, foi forçado a fechar em 2022 após um ataque de ransomware que paralisou operações críticas em um momento em que a instituição já passava por dificuldades financeiras. Ninguém está imune a ciber ataques, nem mesmo governos nacionais; é muito importante estar sempre alerta.

Como proteger seus sistemas contra a elevação de privilégios

Ciber ataques são um problema internacional. Como destacado pelo Fórum Econômico Mundial, “Os riscos não podem ser mitigados por organizações que atuam isoladamente. É necessário realizar intervenções políticas que incentivem a colaboração e a responsabilização por parte de empresas e de governos”.

De qualquer forma, cada indivíduo tem um papel importante a desempenhar no ecossistema de cibersegurança. Uma estratégia de prevenção eficaz exige a compreensão das técnicas comuns de elevação de privilégios e a implementação de controles adequados para neutralizá-las.

Controles implementáveis para impedir ataques de elevação de privilégios

A redução dos riscos de roubo de credenciais exige múltiplas camadas de proteção. Controles técnicos, como criptografia, firewalls, monitoramento, programas antivírus e antimalware, lidam com as vulnerabilidades presentes em hardware e software. Eles também incluem soluções de gerenciamento e correlação de eventos de segurança (SIEM) para coletar e analisar eventos de segurança, além de sistemas de detecção e prevenção de intrusões que monitoram e respondem atividades suspeitas.

Controles administrativos, como políticas, procedimentos, treinamentos e práticas recomendadas, focam nas pessoas e abordam técnicas de engenharia social. Controles físicos impedem ou dificultam o acesso físico não autorizado a materiais confidenciais. Esses controles podem assumir inúmeras formas, como câmeras de vigilância, guardas de segurança e identificações biométricas. Até mesmo trancar portas pode ajudar na proteção contra o roubo de credenciais.

Técnicas úteis para proteção contra a elevação de privilégios

Como muitas violações começam com ataques de phishing, é essencial adotar técnicas de prevenção social e cultural. Os membros da rede costumam ser o primeiro ponto de ataque e, consequentemente, a primeira linha de defesa. Mas o medo, por si só, não é um motivador eficaz. As organizações devem, em vez disso, capacitar seus funcionários através de treinamento, lembretes periódicos e um senso de responsabilidade compartilhada.

Uma boa higiene de TI individual abrange os seguintes elementos:

• Criação de senhas robustas e proteção contra roubo
• Conexão à rede por meio de Wi-Fi seguro
• Vigilância constante em relação a e-mails ou mensagens de texto não solicitadas com links suspeitos
• Notificações à equipe de TI sobre atividades suspeitas ou ataques acidentais.

A higiene do sistema como um todo também é fundamental. Muitas instituições ainda dependem de medidas de segurança tradicionais, que são facilmente contornadas pelos invasores sofisticados de hoje em dia. Confira algumas soluções:

• Práticas fortes de gerenciamento de senhas e credenciais
• Manuseio adequado de cookies
• Monitoramento de sistemas em tempo real e alinhamento com a inteligência de ameaças
• Investigação proativa e contínua de vulnerabilidades e ameaças
• Implementação de programas robustos de proteção de identidade ao longo de todo o ciclo de vida das contas
• Seguir o princípio do privilégio mínimo e dividir o privilégio em vários componentes
• Usar um modelo de segurança Zero Trust, tratando cada dispositivo como não confiável até que seja autenticado
• Segmentar redes e aplicações para limitar o movimento lateral
• Controles de gerenciamento de acesso privilegiado, com monitoramento rigoroso de sessões privilegiadas
• Criar backups off-line à prova de ransomware para salvar dados

A vigilância organizacional precisa ir além para minimizar a exposição a riscos — ou seja, prever, investigar, buscar proativamente e responder a ameaças, pelas seguintes ações:

• Eliminação de sistemas desatualizados ou não corrigidos, e instalação imediata de correções
• Implementação de autenticação multifatorial e utilização de protocolos de desktop remoto apropriados
• Proteção robusta contra tipos comuns de malware
• Monitoramento da dark web em busca de indícios de ataques
• Realização contínua de testes de penetração
• Prevenção da fadiga de alertas, causada por soluções de segurança que geram falsos positivos ou alertas excessivos sem uma forma de priorização
• Realização de filtragem automática de URLs de e-mails e sandbox de anexos.

Ferramentas e softwares para proteger seus sistemas contra a elevação de privilégios

A proteção de sistemas contra a elevação de privilégios exige ferramentas e softwares com as seguintes capacidades:

• Proteção de identidade para todos os usuários
• Visibilidade em tempo real de todos os usuários ativos com detecção e resposta de endpoint (EDR) para atividades maliciosas de administrador
• Investigação de ameaças, preferivelmente 24 por dia, com a capacidade de rastrear, validar e priorizar alertas
• Inteligência de ameaças a respeito dos invasores e as táticas, estratégias e objetivos deles
• Capacidades avançadas de pesquisa de malware com indicadores de comprometimento acionáveis
• Proteções antivírus da próxima geração

As funcionalidades principais dessas ferramentas têm que incluir facilidade de instalação e configuração, escalonabilidade e armazenamento em nuvem de baixo custo.

Devido ao fato de que um número crescente de ataques de elevação de privilégios acontece na nuvem, as organizações precisam de sistemas escalonáveis e nativos em nuvem para estar sempre à frente dos ciber criminosos. Além da inteligência artificial e da tecnologia de filtragem inteligente de alta velocidade, analistas humanos especializados são essenciais, porque eles conseguem monitorar proativamente os ambientes e alertar os usuários sobre atividades incomuns. As equipes internas de segurança podem precisar desse suporte para proteger suas organizações de forma completa contra as ameaças dos ataques de elevação de privilégios.

Impeça ataques e impulsione seus negócios

Nenhuma organização quer sofrer ataques de elevação de privilégios, mas a maioria precisa de ajuda para se manter à frente dos adversários sofisticados de hoje — e de amanhã. A CrowdStrike tem a experiência, o conhecimento e as ferramentas necessárias para fortalecer as defesas da sua organização e proteger suas redes contra possíveis exploradores.

Descubra como a CrowdStrike pode ajudar você a vencer a luta contra os ciber ataques, para que você tenha tempo de se concentrar no que faz de melhor.