Dans ma publication précédente, nous avions analysé les mesures prises par les organisations pour appliquer leurs politiques d'autorisation. Les politiques d'autorisation et les méthodes que nous utilisons pour les appliquer - contrôles d'accès, droits d'accès ou privilèges de l'utilisateur - sont conçues pour protéger des informations sensibles contre l'accès, le partage, la modification ou la suppression non autorisés. Ces politiques peuvent aussi protéger contre l'exécution des applications sur un ordinateur.
Des acteurs malveillants, des criminels ou des parties engagées dans l'espionnage électronique sont motivés - pour des raisons financières, socio-politiques ou pour des raisons de notoriété - pour mettre en échec les politiques d'autorisation afin de pouvoir accéder à des données commerciales sensibles ou confidentielles, d'escroquer un commerçant ou de voler de l'argent. Ces pirates commencent souvent par mettre en danger les comptes des utilisateurs. Alternativement, ils pourraient rechercher des vulnérabilités pouvant être exploitées pour parvenir à contrôler un système ou une application informatiques.
Au moyen de ces voies d'exploit initiales, un pirate obtiendra certains privilèges d'accès. Ensuite, le pirate explorera progressivement le système qu'il a compromis pour obtenir davantage de privilèges, espérant ainsi accéder à des informations sensibles d'autres comptes ou même obtenir le contrôle administratif complet sur un système. Lorsqu'un pirate étend son accès initial non autorisé de cette façon, nous disons que ses efforts sont une attaque d'élévation de privilèges.
Élévation de privilèges horizontale
Supposons qu'un pirate a pu obtenir l'accès à un compte bancaire en ligne. Il veut voler de l'argent et l'argent qu'il a volé de ce compte ne lui suffit pas. Il cherche et examine de l'information ou essaie différents exploits pour accéder à d'autres comptes. Ce procédé est appelé élévation de privilèges horizontale parce que notre pirate se déplace latéralement entre des comptes ayant des privilèges semblables.
Comment se déplace-t-il latéralement ? Notre pirate peut examiner les liens hypertexte que la banque renvoie une fois qu'il a ouvert une session pour voir s'ils révèlent des informations sur la manière dont le contenu est organisé sur le site de la banque. Il peut découvrir que la banque encode le numéro du compte d'un client d'une manière particulière dans les liens hypertexte. Il peut créer et insérer des liens hypertexte sur le site web pour vérifier si le système de sécurité de la banque présente des défauts et si ces défauts permettent de voir les données des comptes d'autres clients ou (mieux encore) de transférer des fonds. S'il réussit, il peut accéder à plusieurs comptes avant que la banque ne détecte ses activités ou qu'un client ne dénonce un vol. Cela s'appelle technique de référence directe à un objet.
Élévation de privilèges verticale
Les pirates recherchent souvent le contrôle complet d'un système informatique afin de pouvoir s'en servir à leur profit. Lorsqu'un pirate commence par un compte utilisateur compromis et parvient ensuite à augmenter ou élever les privilèges d'utilisateur individuel qu'il possède pour parvenir à des privilèges administratifs complets ou « racine », nous pouvons donner à ces attaques le nom d'élévation de privilèges verticale.
Analysons un scénario où notre pirate a obtenu l'accès non autorisé à un compte utilisateur sur un système informatique. Il fera une reconnaissance locale pour voir ce que l'utilisateur compromis peut faire et à quelle information il peut accéder, s'il peut écrire des scripts ou compiler des programmes depuis ce compte, et d'autres possibilités. S'il peut télécharger et exécuter des logiciels sur l'ordinateur compromis, il pourrait lancer un logiciel exploit. Il fouillera jusqu'à ce qu'il trouvera une vulnérabilité ou une erreur de configuration qu'il pourra exploiter pour devenir gestionnaire de l'ordinateur ciblé ou il abandonnera ce système et cherchera un autre ordinateur.
Un pirate peut aussi outrepasser l'accès à l'information protégée ou sensible à travers des accès à distance. Par exemple, au moyen de requêtes soigneusement élaborées pouvant tirer profit d'une vulnérabilité dans une application Web déployée sur un site ciblé, un pirate peut insérer des instructions directement dans l'application de la base de données du site, ce qui lui permet d'accéder à des enregistrements apparemment protégés ou de vider le contenu complet d'une base de données (voir injection SQL). Les pirates peuvent essayer de nombreux exploits mais souvent, ils profitent tout simplement de l'application Web manquant de validation du type de données qu'un utilisateur saisit : dans ces situations-là, l'application Web introduit tout ce que le pirate entre dans un formulaire en ligne dans la base de données et la base de données exécute ce qu'elle reçoit, souvent avec des conséquences désastreuses allant jusqu'à la divulgation de la base de données complète, l'altération ou la corruption des données.
Renforcez l'authentification et validez toutes les données !
Il y a trois remèdes simples pour réduire les attaques d'escalade : (1) faites en sorte que vos utilisateurs ou clients utilisent la meilleure méthode d'authentification possible et qu'ils l'utilisent avec intelligence (par ex., des mots de passe longs, forts et complexes) ; (2) scannez vos applications Web pour identifier les vulnérabilités connues afin de minimiser les attaques par exploit et (3) validez les données dans tous les formulaires de soumission utilisés sur votre site web. Appliquez ce qui vient d'être mentionné et vous réduirez le risque d'exposition à des attaques d'élévation de privilèges dans votre organisation.