Privilege Escalation

Privilege Escalation ist in fast jedem erfolgreichen Cyberangriff ein notwendiger Schritt: Der initiale Zugang (z. B. über Phishing) liefert typischerweise nur normale Benutzerrechte. Um das eigentliche Ziel - Datenbankzugriff, Ransomware-Deployment, Datenexfiltration - zu erreichen, benötigt der Angreifer mehr Privilegien.

Zwei Hauptkategorien

Vertikale Privilege Escalation (häufiger, kritischer): Berechtigungen werden von einem niedrigeren auf ein höheres Niveau erhöht:

• Normaler Benutzer → lokaler Administrator
• Lokaler Administrator → Domänenadministrator
• Anwendungskontext → Betriebssystemebene (root/SYSTEM)

Horizontale Privilege Escalation: Zugriff auf Ressourcen anderer Benutzer auf gleicher Berechtigungsebene (z. B. Zugriff auf die Dateien eines anderen normalen Benutzers).

Häufige Techniken (Windows)

• Token Impersonation: Übernahme eines privilegierten Tokens, der einem anderen Prozess gehört
• UAC Bypass: Umgehung der User Account Control (UAC) ohne Administrator-Dialog
• Unquoted Service Paths: Dienste mit Leerzeichen im Pfad ohne Anführungszeichen erlauben Code-Einschleusungen
• AlwaysInstallElevated: Registry-Fehlkonfiguration erlaubt MSI-Installation mit SYSTEM-Rechten
• Kerberoasting / AS-REP Roasting: Kompromittierung von Dienstkonten mit hohen Rechten

Schutzmaßnahmen

• Least-Privilege-Prinzip: Benutzer erhalten nur die minimal notwendigen Rechte
• Regelmäßige Rechtüberprüfungen: Wer hat tatsächlich welche Rechte?
• Protected Users Group für privilegierte AD-Konten
• Lokale Admin-Rechte entziehen: Normale Workstation-Nutzer brauchen keine lokalen Admin-Rechte
• LAPS: Lokale Administratorpasswörter werden randomisiert und zentral verwaltet