L’élévation de privilèges est l’une des techniques les plus couramment employées par les cyberattaquants pour transpercer les défenses, pénétrer les systèmes et exfiltrer des données sensibles. Mais qu’est-ce qui favorise cette élévation et comment l’éviter ?

L’élévation de privilèges se produit lorsqu’un utilisateur disposant d’un accès restreint à des systèmes informatiques élargit le périmètre et l’étendue de ses autorisations. Dans de nombreux cas, cette extension des privilèges est utile, justifiée et limitée dans le temps. Cependant, l’élévation de privilèges est l’une des techniques les plus couramment employées par des pirates pour exfiltrer des données sensibles. Il n’est pas rare que ceux-ci parviennent à rehausser les privilèges du compte standard d’un utilisateur ou d’une application pour l’élever jusqu’au niveau administrateur ou root, voire pour obtenir un accès total au système.

L’élévation de privilèges peut être soit verticale soit horizontale. Lorsqu’un cyberattaquant réussit à pirater un compte utilisateur bénéficiant de droits d’accès limités sur un système et cherche à augmenter ses privilèges au moyen du même compte, on parle d’élévation verticale. L’élévation horizontale de privilèges est quant à elle le cas le plus fréquent. Elle consiste pour un pirate à accéder à un autre compte jouissant de droits supérieurs à ceux du compte lui ayant servi à s’introduire dans le réseau. Il peut alors s’y déplacer librement sans courir le risque d’être repéré.

Des comptes à privilèges à la fois essentiels mais vulnérables

Les comptes à privilèges jouent un rôle central dans toute entreprise car ils permettent aux utilisateurs de prendre des décisions cruciales pour celle-ci.

Ils peuvent changer la configuration du système et des logiciels, déployer ces derniers, créer et modifier des comptes, installer des correctifs de sécurité et, bien entendu, accéder à des données sensibles, entre autres actions.

Les cybercriminels font généralement appel à des techniques éprouvées pour s’attaquer aux comptes à privilèges et élever leurs droits d’accès palier par palier. Ils commencent par tenter de rassembler le plus de renseignements possibles sur un environnement informatique et explorer les systèmes à la recherche d’une voie d’attaque discrète qui n’attire pas immédiatement l’attention des équipes de sécurité. Par exemple, ils s’intéressent plus particulièrement aux comptes à privilèges non gérés et non surveillés. Une fois l’accès obtenu, les pirates progressent souvent plus rapidement que prévu. Cela s’explique aussi par la présence de diverses failles de sécurité et vulnérabilités qui jouent en leur faveur :

  • Excès de privilèges de certains utilisateurs : si les droits des collaborateurs ne sont pas restreints suivant le principe de moindre privilège, il peut vite en résulter que des utilisateurs lambda se retrouvent avec des droits d’administrateur local sur leur poste de travail personnel. Les cyberattaquants s’en servent pour étendre leurs droits d’accès à l’ensemble du domaine au moyen d’outils tels que Mimikatz et modifier la configuration du système d’exploitation.
  • Chemins d’accès de services non répertoriés : alors que le risque est bien connu, les services présentant des chemins d’accès non répertoriés demeurent étonnamment répandus. Combinés à des permissions insuffisantes sur les dossiers, ceux-ci permettent à un cyberattaquant de déposer un fichier exécutable dans un dossier parent où Windows recherche en priorité les programmes à exécuter.
  • Permissions de services non sécurisées : l’exécution d’un service avec des privilèges SYSTEM, alors que l’utilisateur (légitime ou non) est autorisé à modifier le chemin bin de l’exécutable, peut créer un reverse shell. Des pirates peuvent ainsi établir des ports de communication entre leur ordinateur et celui de leur victime.
  • Permissions faibles d’accès au registre : si un cyberattaquant est capable de modifier la configuration d’un service dans le registre, comme dans l’exemple précédent, il peut y changer le chemin d’accès afin d’exécuter le fichier binaire de son choix. Il lui est alors possible de créer un reverse shell ou d’augmenter les droits d’accès au système.
  • Applications non sécurisées dans l’interface graphique : une vulnérabilité récente dans un logiciel Razer a permis à un utilisateur d’élever ses privilèges au niveau d’un administrateur Windows 10 en connectant simplement une souris. Une fois la souris branchée, une mise à jour Windows lançait le téléchargement du programme d’installation Razer avec les droits SYSTEM. Il était ensuite possible d’ouvrir une fenêtre PowerShell avancée dans l’Explorateur.

 

Freiner l’élévation de privilèges par des cyberattaquants

En matière d’élévation de privilèges, les cybercriminels aiment à montrer leur créativité et leur persévérance. Il serait naïf de penser qu’il suffit de surveiller les vulnérabilités et les stratégies d’attaque courantes pour éviter toute élévation de privilèges. Néanmoins, les équipes de sécurité doivent actionner tous les freins susceptibles de rendre cette manipulation plus difficile. Il est essentiel de renforcer vos systèmes du mieux possible, afin de contraindre les cyberattaquants à recourir à des techniques moins « discrètes » permettant de détecter les signaux d’alerte annonciateurs d’une élévation de privilèges avant que le désastre ne se produise. Les cinq méthodes suivantes ont fait leurs preuves à cette fin :

  1. Utiliser une solution de gestion des accès à privilèges (PAM) à l’échelle de l’entreprise et reléguer les mots de passe à l’arrière-plan

Si les mots de passe sont transférés dans une chambre forte virtuelle, les cyberattaquants ne pourront pas les découvrir facilement durant la phase d’énumération. Une solution PAM robuste évite que les mots de passe demeurent visibles sur le poste de travail, ou encore enregistrés dans des navigateurs non sécurisés. Elle veille également à ce que tous les services soient associés à un compte assorti des contrôles de sécurité adéquats, notamment des mots de passe complexes renouvelés régulièrement.

  1. Révoquer les droits d’administrateur local et appliquer le principe de moindre privilège

Le Zero Trust est le nec plus ultra en matière de sécurité, dont l’un des piliers est le passage à des privilèges non persistants avec application du principe de moindre privilège. Selon ce principe, chaque utilisateur ou compte ne doit disposer que des droits tout juste suffisants pour accomplir les tâches qui lui sont affectées. Cela permet d’éliminer les droits d’administrateur superflus et les points d’attaque courants pour l’élévation de privilèges (services, registre et répertoires non sécurisés).

  1. Généraliser l’authentification multifacteur (MFA)

Les mots de passe sont la cible numéro un des attaques, raison pour laquelle ils ne doivent jamais constituer la seule méthode d’authentification pour les systèmes, applications ou autorisations critiques. Il faut plutôt les accompagner de contrôles de sécurité supplémentaires (authentification multifacteur, workflows d’accès, permissions) de sorte que seuls les utilisateurs autorisés puissent exploiter ces privilèges, même si un cyberattaquant a piraté un mot de passe. L’authentification multifacteur doit être exigée non seulement pour la connexion au système mais aussi pour l’élévation horizontale ou verticale de privilèges.

  1. Contrôler les applications

Il faut restreindre la possibilité d’exécuter des applications et des scripts pouvant servir à exploiter des privilèges. Cela passe par des listes spéciales d’autorisation ou de refus d’accès, qui déterminent quelles applications exécuter et lesquelles bloquer ou soumettre à des contrôles supplémentaires.

  1. Examiner et enregistrer l’usage de tous les accès

Une surveillance continue des sessions à privilèges est indispensable pour détecter en amont les abus et activités douteuses. À cette fin, il convient de définir des alertes afin que les incidents suspects puissent faire immédiatement l’objet d’une enquête. Si une élévation de privilèges est avérée, les équipes informatiques pourront alors répondre à l’incident et identifier l’origine de l’attaque pour éviter qu’elle ne se reproduise.

Les comptes à privilèges en font des cibles de choix pour les attaquants qui rivalisent de créativité pour exploiter leurs vulnérabilités. C’est pourquoi, il est essentiel pour les entreprises de mettre en place des mesures permettant de se protéger. L’application du principe de moindre privilège pour la gestion des accès est le meilleur moyen pour les entreprises de réduire le risque de piratage. Ce principe passe notamment par un contrôle étroit et une restriction des autorisations.
___________________

Par Yves Wattel, Vice President Southern Europe chez Delinea