员工会利用哪些漏洞来提升权限？

Crowdstrike 报告 基于 2021 年 1 月至 2023 年 4 月的数据，显示企业员工构成的网络威胁显着增加。我们不仅谈论明显的恶意行为，还谈论人们无意中将公司系统置于危险之中的情况。

55% 的内部威胁涉及利用漏洞来增加访问权限。在其余 45% 的情况下，员工会转向不可靠的计划和服务。

提升的权限允许攻击者执行各种操作，例如下载和安装未经授权的软件、擦除系统日志条目以及使用仅管理员可用的工具对计算机进行故障排除。

无意的错误包括测试失控的漏洞、在没有采取适当预防措施的情况下使用激进的安全工具以及在没有先测试的情况下上传代码。

Crowdstrike指出，当网络安全研究人员直接在生产环境中的工作站上而不是使用虚拟机测试漏洞和漏洞工具包时，就会发生一些事件。

这些案例大多数涉及 Metasploit Framework 和 ElevateKit 等工具。

员工出于各种原因转向非法计划，包括经济激励、个人不满或与管理层的分歧。

修复内部攻击的平均成本（恶意事件）为 648,000 美元，非故意事件的平均成本为 485,000 美元。据估计，到 2023 年，这些数字可能会增加。

除了经济损失之外，Crowdstrike 还强调间接后果。例如，损害组织的声誉和品牌。

最常被利用的漏洞：

1. CVE-2017-0213 ( Windows ) – 该漏洞允许通过利用 COM 基础设施来提升权限。

2. CVE-2022-0847 – DirtyPipe ( Linux )是 Linux 内核中管道操作控制的缺陷。

3. CVE-2021-4034 – PwnKit (Linux) – 影响 Polkit 系统服务的漏洞。

4. CVE-2019-13272 (Linux)是与内核进程中用户权限处理不当相关的问题。

5. CVE-2015-1701 (Windows) – “win32k.sys”驱动程序中的一个错误，允许未经授权的代码执行。

6. CVE-2014-4113 (Windows) – 也针对 Windows 中的“win32k.sys”组件，但使用不同的方法来利用它。

由于员工疏忽而产生的最著名的漏洞：

1. CVE-2021-42013 (Apache HTTP Server) – 与 Apache HTTP 服务器版本 2.4.49 和 2.4.50 上的网络处理相关的漏洞。

2. CVE-2021-4034 – PwnKit (Linux) – Polkit 系统服务中与访问未经授权的内存区域相关的漏洞。

3. CVE-2020-0601 (Windows) – CryptoAPI Windows 中的请求伪造漏洞。

4. CVE-2016-3309（Windows）是Windows内核中的权限提升问题。

5. CVE-2022-21999 (Windows) – Windows 打印服务中的权限提升漏洞。

将漏洞引入企业系统为已经获得网络访问权限的攻击者提供了进一步攻击的新机会。

然而，更大的危险是散布恶意软件的虚假漏洞和渗透测试工具。

例如，5 月份，攻击者分发了针对 Windows 漏洞的虚假漏洞利用程序，在计算机上秘密安装了 Cobalt Strike 后门。

在另一次攻击中，Rapid7 研究人员发现了 0day 漏洞的虚假利用，这些漏洞利用恶意软件感染了 Windows 和 Linux 系统。