Durch den verstärkten Trend zur Arbeit im Homeoffice und zu größeren Cloud-Systemen werden Unternehmen immer anfälliger für Cyberangriffe. Angriffe mit Erweiterung der Zugriffsrechte (oder Rechteausweitung) sind eine weit verbreitete und komplexe Bedrohung, die jedes Netzwerk betreffen können.

Wenn jede Ressource als Einfallstor für Angreifer dienen kann, benötigen Unternehmen mehrere Strategien, um sich vor Angriffen zu schützen. Ein erster wichtiger Schritt zur Prävention und Abwehr dieser großflächigen Netzwerkattacken besteht darin, den Ablauf eines solchen Angriffs zu verstehen.

Was ist Erweiterung der Zugriffsrechte?

Ein Angriff mit Erweiterung der Zugriffsrechte ist ein Cyberangriff, mit dem sich die Angreifer privilegierten Zugriff auf ein System verschaffen wollen. Sie nutzen dazu menschliches Verhalten, Konstruktionsfehler und Schwachstellen in Betriebssystemen oder Web-Anwendungen aus. Die Angriffe sind eng mit lateraler Bewegung verwandt – einer Taktik, mit der Cyberangreifer immer tiefer in ein Netzwerk eindringen, um wertvolle Ressourcen aufzuspüren.

Am Ende steht dann ein interner oder externer Benutzer mit nicht autorisierten Systemrechten. Je nach Umfang der Kompromittierung richten die böswilligen Akteure kleine oder große Schäden an. Dies können gefälschte E-Mails sein oder ein Ransomware-Angriff auf große Mengen von Daten. Wird ein solcher Angriff nicht erkannt, können hochentwickelte hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) das Betriebssystem übernehmen.

So läuft die Erweiterung der Zugriffsrechte ab

In der Regel beginnt ein Angriff mit Rechteausweitung mit einer Social-Engineering-Technik, die menschliches Verhalten manipuliert. Die einfachste Technik ist Phishing – elektronische Nachrichten, die schädliche Links enthalten. Sobald Angreifer ein Konto kompromittiert haben, ist das gesamte Netzwerk bedroht.

Die Angreifer suchen nach Schwachstellen in der Cyberabwehr eines Unternehmens, über die sie Erstzugang erlangen können. Oder sie versuchen Anmeldedaten zu stehlen, um sich grundlegende Berechtigungen zu verschaffen. Wie wir weiter unten zeigen werden, ermöglicht das Ausnutzen dieser Schwachstellen den Angreifern umfassendere Berechtigungen. Eine effektive Strategie muss daher eine Kombination aus Techniken zur Prävention und Erkennung sowie schnelle Maßnahmen beinhalten.

Techniken zur Erweiterung der Zugriffsrechte

Techniken zur Erweiterung der Zugriffsrechte können lokal oder per Remote-Zugriff ausgeführt werden. Eine lokale Erweiterung der Zugriffsrechte beginnt häufig durch eine Person im Unternehmen vor Ort, während eine Rechteausweitung per Remote-Zugriff von nahezu jedem Ort aus initiiert werden kann. Entschlossene Angreifer erreichen mit beiden Techniken ihr Ziel.

Welche Haupttypen von Rechteausweitung gibt es?

Die Angriffe lassen sich in zwei Hauptgruppen unterscheiden:

Bei der horizontalen Erweiterung der Zugriffsrechte (oder Kontoübernahme) verschafft sich der Angreifer privilegierten Zugriff zu einem normalen Benutzerkonto mit niedrigeren Berechtigungen. Dazu stiehlt er beispielsweise den Benutzernamen und das Kennwort eines Mitarbeiters und erlangt somit Zugriff auf die dazugehörigen E-Mails, Dateien, Web-Anwendungen und Subnetze. Von dieser Basis aus kann sich der Angreifer nun horizontal im System bewegen und den privilegierten Zugriff durch Konten mit ähnlichen Berechtigungen ausbauen.

Die vertikale Erweiterung der Zugriffsrechte beginnt ähnlich: Ein Angreifer versucht von einem kompromittierten Konto aus, seine Zugriffsrechte vertikal zu erweitern, also Zugriff auf Konten mit höheren Berechtigungen zu erlangen. Dazu nimmt er zum Beispiel Konten mit Administratorrechten oder Root-Zugriff wie IT-Support-Mitarbeiter oder Systemadministratoren ins Visier. Über ein solches privilegiertes Konto kann er dann in andere Konten einbrechen.

Unterschiede zwischen vertikaler und horizontaler Erweiterung der Zugriffsrechte

Kurz gefasst lässt sich also sagen, dass die Angreifer bei einer horizontalen Erweiterung der Zugriffsrechte Zugriff auf privilegierte Konten mit ähnlichen Berechtigungen wie dem ursprünglichen Konto erlangen. Bei der vertikalen Rechteausweitung hingegen brechen sie in Konten mit umfassenderen Privilegien ein. Häufig beginnen die Angreifer mit einem normalen Benutzerkonto und kompromittieren damit Konten mit Administratorrechten.

Je mehr Privilegien ein Konto hat, desto schneller kann ein böswilliger Akteur Schäden anrichten. Ein IT-Support-Konto beispielsweise kann normale Benutzerkonten schädigen und selbst für vertikale Rechteausweitung dienen. Dennoch sind auch horizontale Angriffe gefährlich, da das Risiko für ein Netzwerk mit zunehmender Zahl an kompromittierten Konten steigt. Jede Schwachstelle ist eine Gelegenheit für Angreifer, tiefer ins System einzudringen. Daher müssen sowohl horizontale als auch vertikale Angriffe so schnell wie möglich abgewehrt werden.

Andere Formen der Rechteausweitung

Ständig entwickeln Cyberangreifer neue Methoden, um Konten und Systeme zu kompromittieren – Phishing spielt dabei jedoch nach wie vor die Hauptrolle. Dabei konstruieren die Angreifer gefälschte Nachrichten, die sie entweder massenweise oder gezielt einsetzen, um Benutzer dazu zu bringen, ihre Anmeldedaten herauszugeben, Malware herunterzuladen oder den Missbrauch von Netzwerken zu ermöglichen.

Dies sind einige Beispiele für andere Arten von Social-Engineering-Angriffen:

• Cybersquatting oder Typosquatting: Hier geht es um das Hijacking von URLs oder das Erstellen falscher URLs als Klickfalle. Die Angreifer nutzen unter anderem falsche Top-Level-Domänen (z. B. Beispiel.co, .cm oder .org anstatt .com) oder Domänen mit Tippfehlern (z. B. Beispil.com, Beispie1.com oder Beispeil.com).
• Verraten von Kennwörtern: In einigen Fällen verraten Benutzer ihre Kennwörter freiwillig an Freunde oder Kollegen. Meist passiert dies jedoch unabsichtlich, wenn sie ihre Kennwörter auf einem Zettel am Arbeitsplatz aufbewahren oder Kennwörter verwenden, die leicht zu erraten sind.
• Verraten von Sicherheitsfragen: Es geschieht recht häufig, dass Benutzer ihre Kennwörter vergessen. Meistens müssen sie dann Sicherheitsfragen beantworten, um ein neues Kennwort erstellen zu können. Dank der sozialen Medien finden sich die Antworten auf diese Fragen so leicht wie nie zuvor. (Vorsicht vor viralen Umfragen oder Beiträgen, in denen nach den „5 wichtigsten Dingen, die keiner über Sie weiß“ gefragt wird.)
• Vishing oder „Voice-Phishing“: Beim Vishing rufen Angreifer Mitarbeiter an und imitieren eine Autoritätsperson, um sie dazu zu bringen, vertrauliche Informationen herauszugeben oder Malware zu installieren.

Häufig geben sich die Kriminellen dabei als Mitarbeiter vom Technik-Support aus. Brute-Force-Angriffe und Credential Dumping sind die gängigsten Formen des Vishing, doch es gibt viele weitere:

• Brute-Force-Angriffe: Dabei werden Kennwörter systematisch und automatisiert ausprobiert. Dies ist besonders bei Systemen verheerend, die ungenügende Kennwortanforderungen vorschreiben.
• Credential Dumping: Hierbei verschaffen sich Angreifer illegal Zugang zu einem Netzwerk und stehlen mit einem Mal mehrere Anmeldedaten.
• Shoulder Surfing: Beim Shoulder Surfing werden Anmeldedaten entweder über ein ungeschütztes Netzwerk oder durch das Hacken einzelner Geräte gestohlen.
• Wörterbuchangriffe: Bei dieser Angriffsart werden häufig genutzte Wörter zu möglichen Kennwörtern kombiniert, die von der jeweils vorgeschriebenen Länge und den Kennwortanforderungen abhängen.
• Password Spraying: Bei dieser Angriffsart probieren die Angreifer automatisiert gängige Kennwörter (z. B. „Passwort“, „qwertz“, „123456“ usw.) aus, um sich Zugriff auf viele Konten gleichzeitig zu verschaffen.
• Credential Stuffing: Hierbei probieren Angreifer Anmeldedaten für ein System bei einem anderen System aus. Da viele Menschen ihre Kennwörter für mehrere Netzwerke verwenden, ist dies häufig von Erfolg gekrönt.
• Pass-the-Hash- oder Rainbow-Table-Angriffe: Bei dieser Angriffsart werden Algorithmen genutzt, die „Hashes“ von Kennwörtern erstellen oder sie verschlüsseln.
• Ändern und Zurücksetzen von Kennwörtern: Raffinierte Angreifer finden immer Möglichkeiten, um das Erstellen neuer Kennwörter auszunutzen. Sie können sogar selbst neue Kennwörter anfordern, wenn sie Antworten auf die Sicherheitsfragen wissen.

Sowohl Windows-Server als auch Linux-Betriebssysteme sind für diese Angriffe anfällig. Bei der Erweiterung der Zugriffsrechte unter Windows kommen häufig manipulierte Token, das Umgehen der Benutzerkontensteuerung oder DLL-Hijacking (Dynamic Link Library) zum Einsatz. Angriffe mit Rechteausweitung unter Linux umfassen in der Regel Auflistungstechniken, Kernel-Exploits und den Missbrauch von Sudo, um Root-Rechte zu erlangen. Der umfassende Zugriff, der durch gestohlene Anmeldedaten möglich wird, motiviert die Angreifer zur Suche nach immer neuen Möglichkeiten, mit denen sie Berechtigungen unter Linux erweitern können.

Präventionsstrategien für die Erweiterung der Zugriffsrechte

Prävention bedeutet eine kontinuierliche, vorausschauende Wachsamkeit. Im Prinzip kann jedes Unternehmen mit einem Netzwerk zum Opfer werden, da jeder Benutzer zu einem gewissen Grad eine Schwachstelle darstellt. Eine Präventionsstrategie muss daher umfassend und inklusiv sein: Alle Benutzer müssen ihren Beitrag zum Schutz des gemeinsam genutzten digitalen Raums leisten. Für den Fall, dass die Präventionsstrategie versagt, muss es Erkennungsmaßnahmen und einen Reaktionsplan geben, der schnell ausgeführt werden kann, um die schlimmsten Folgen zu verhindern.