Повышение привилегий

Получение контроля над привилегиями компьютера, выходящими за рамки обычных прав

Диаграмма, описывающая повышение привилегий. Стрелка представляет собой руткит, получающий доступ к ядру, а маленький шлюз представляет собой обычное повышение привилегий, когда пользователь должен ввести имя пользователя и пароль администратора.

Повышение привилегий — это действие по использованию ошибки , недостатка дизайна или упущения конфигурации в операционной системе или программном приложении для получения повышенного доступа к ресурсам , которые обычно защищены от приложения или пользователя . Результатом является то, что приложение или пользователь с большими привилегиями , чем предполагалось разработчиком приложения или системным администратором, могут выполнять несанкционированные действия.

Фон

Большинство компьютерных систем разработаны для использования с несколькими учетными записями пользователей, каждая из которых имеет возможности, известные как привилегии . Обычные привилегии включают просмотр и редактирование файлов или изменение системных файлов.

Повышение привилегий означает, что пользователи получают привилегии, на которые они не имеют права. Эти привилегии могут использоваться для удаления файлов, просмотра личной информации или установки нежелательных программ, таких как вирусы. Обычно это происходит, когда в системе есть ошибка , позволяющая обойти защиту, или, в качестве альтернативы, имеются ошибочные предположения о том, как она будет использоваться. Повышение привилегий происходит в двух формах:

• Вертикальное повышение привилегий , также известное как повышение привилегий , когда пользователь или приложение с более низкими привилегиями получает доступ к функциям или контенту, зарезервированным для пользователей или приложений с более высокими привилегиями (например, пользователи интернет-банкинга могут получить доступ к административным функциям сайта или можно обойти пароль для смартфона).
• Горизонтальное повышение привилегий , когда обычный пользователь получает доступ к функциям или контенту, зарезервированным для других обычных пользователей (например, пользователь интернет-банкинга A получает доступ к учетной записи интернет-банка пользователя B)

Вертикальный

Кольца привилегий для x86 доступны в защищенном режиме

Этот тип повышения привилегий происходит, когда пользователь или процесс может получить более высокий уровень доступа, чем предполагал администратор или разработчик системы, возможно, путем выполнения операций на уровне ядра .

Примеры

В некоторых случаях высокопривилегированное приложение предполагает, что ему будут предоставлены только входные данные, соответствующие спецификации его интерфейса, поэтому не проверяет эти входные данные. Затем злоумышленник может воспользоваться этим предположением, чтобы запустить несанкционированный код с привилегиями приложения:

• Некоторые службы Windows настроены на запуск под учетной записью пользователя Local System. Уязвимость, такая как переполнение буфера, может использоваться для выполнения произвольного кода с привилегиями, повышенными до Local System. В качестве альтернативы, системная служба, которая выдает себя за пользователя с более низкими правами, может повысить привилегии этого пользователя, если ошибки не обрабатываются правильно, пока пользователь выдает себя за другого (например, если пользователь ввел вредоносный обработчик ошибок ).
• В некоторых устаревших версиях операционной системы Microsoft Windows заставка All Users запускается под учетной записью Local System — любая учетная запись, которая может заменить текущий двоичный файл заставки в файловой системе или реестре , может повысить привилегии.
• Драйвер Windows, например kprocesshacker.sys, можно использовать для запуска таких программ, как cmd.exe, в качестве внутренних учетных записей, также обеспечивая доступ к LocalSystem.
• В некоторых версиях ядра Linux можно было написать программу, которая устанавливала бы свой текущий каталог на /etc/cron.d, запрашивала бы выполнение дампа ядра в случае сбоя, а затем сама бы была убита другим процессом. Файл дампа ядра был бы помещен в текущий каталог программы, то есть , /etc/cron.dи cronобрабатывал бы его как текстовый файл, указывающий ей запускать программы по расписанию. Поскольку содержимое файла находилось бы под контролем злоумышленника, злоумышленник мог бы выполнить любую программу с привилегиями root .
• Межзонный скриптинг — это тип атаки с целью повышения привилегий, при которой веб-сайт подрывает модель безопасности веб-браузеров, что позволяет ему запускать вредоносный код на клиентских компьютерах.
• Существуют также ситуации, когда приложение может использовать другие высокопривилегированные службы и имеет неверные предположения о том, как клиент может манипулировать его использованием этих служб. Приложение, которое может выполнять команды командной строки или оболочки , может иметь уязвимость Shell Injection , если оно использует непроверенный ввод как часть выполняемой команды. Затем злоумышленник сможет запускать системные команды, используя привилегии приложения.
• Калькуляторы Texas Instruments (в частности, TI-85 и TI-82 ) изначально были разработаны для использования только интерпретируемых программ, написанных на диалектах TI-BASIC ; однако после того, как пользователи обнаружили ошибки, которые могли быть использованы для запуска собственного кода Z-80 на оборудовании калькулятора, TI выпустила программные данные для поддержки сторонних разработок. (Это не коснулось TI-Nspire на базе ARM , для которого были найдены джейлбрейки с использованием Ndless , но с которыми Texas Instruments до сих пор активно борется.)
• Некоторые версии iPhone позволяют неавторизованному пользователю получить доступ к телефону, пока он заблокирован. ^[1]

Джейлбрейк

В компьютерной безопасности джейлбрейк определяется как действие по снятию ограничений, которые поставщик пытался жестко закодировать в своем программном обеспечении или услугах. ^[2] Распространенным примером является использование наборов инструментов для выхода из chroot или jail в UNIX-подобных операционных системах ^[3] или обход управления цифровыми правами (DRM). В первом случае это позволяет пользователю видеть файлы за пределами файловой системы , которые администратор намеревается сделать доступными для рассматриваемого приложения или пользователя. В контексте DRM это позволяет пользователю запускать произвольно определенный код на устройствах с DRM, а также выходить за рамки ограничений, подобных chroot. Термин возник в сообществе джейлбрейка iPhone / iOS и также использовался как термин для взлома PlayStation Portable ; эти устройства неоднократно подвергались джейлбрейкам, что позволяло выполнять произвольный код, и иногда эти джейлбрейки отключались обновлениями поставщика.

Системы iOS , включая iPhone , iPad и iPod Touch, подвергались попыткам взлома iOS с момента их выпуска и продолжаются с каждым обновлением прошивки. ^{[4] [5]} Инструменты взлома iOS включают возможность установки интерфейсов пакетов, таких как Cydia и Installer.app , сторонних альтернатив App Store , как способ поиска и установки системных настроек и двоичных файлов. Чтобы предотвратить взлом iOS, Apple заставила загрузочное ПЗУ устройства выполнять проверки на наличие SHSH-блобов , чтобы запретить загрузку пользовательских ядер и предотвратить понижение версии программного обеспечения до более ранней прошивки, поддающейся взлому. При «непривязанном» взломе среда iBoot изменяется для выполнения эксплойта загрузочного ПЗУ и разрешения отправки исправленного загрузчика низкого уровня или взлома ядра для отправки взломанного ядра после проверки SHSH.

Аналогичный метод джейлбрейка существует для смартфонов на платформе S60 , где такие утилиты, как HelloOX, позволяют выполнять неподписанный код и получать полный доступ к системным файлам. ^{[6] [7]} или редактировать прошивку (похожую на взломанную прошивку M33, используемую для PlayStation Portable ) ^[8] для обхода ограничений на неподписанный код . С тех пор Nokia выпустила обновления для ограничения несанкционированного джейлбрейка, аналогично Apple.

В случае игровых консолей джейлбрейк часто используется для запуска самодельных игр . В 2011 году Sony при содействии юридической фирмы Kilpatrick Stockton подала в суд на 21-летнего Джорджа Хотца и сообщников из группы fail0verflow за джейлбрейк PlayStation 3 (см . Sony Computer Entertainment America против Джорджа Хотца и PlayStation Jailbreak ).

Джейлбрейк также может происходить в системах и программном обеспечении, которые используют генеративные модели искусственного интеллекта, такие как ChatGPT . При джейлбрейк-атаках на системы искусственного интеллекта пользователи могут манипулировать моделью, заставляя ее вести себя иначе, чем она была запрограммирована, что позволяет раскрыть информацию о том, как была проинструктирована модель, и заставить ее реагировать аномальным или вредоносным образом. ^{[9] [10]}

андроид

Телефоны Android могут быть официально рутированы либо путем прохождения контролируемого производителем процесса, либо с помощью эксплойта для получения root, либо путем прошивки пользовательского рекавери. Производители разрешают рутирование с помощью контролируемого ими процесса, в то время как некоторые позволяют рутировать телефон просто нажатием определенных комбинаций клавиш во время загрузки или другими самостоятельно администрируемыми методами. Использование метода производителя почти всегда приводит к заводскому сбросу устройства, что делает рутирование бесполезным для людей, которые хотят просмотреть данные, а также навсегда аннулирует гарантию, даже если устройство было дерутировано и перепрошито. Программные эксплойты обычно либо нацелены на процесс уровня root, который доступен пользователю, с помощью эксплойта, специфичного для ядра телефона, либо с помощью известного эксплойта Android, который был исправлен в более новых версиях; не обновляя телефон или намеренно понижая версию.

Стратегии смягчения последствий

Операционные системы и пользователи могут использовать следующие стратегии для снижения риска повышения привилегий:

• Предотвращение выполнения данных
• Рандомизация компоновки адресного пространства (чтобы затруднить переполнение буфера при выполнении привилегированных инструкций по известным адресам в памяти)
• Запуск приложений с минимальными привилегиями (например, запуск Internet Explorer с отключенным идентификатором безопасности администратора в токене процесса ) для снижения возможности эксплойтов переполнения буфера злоупотреблять привилегиями пользователя с повышенными правами.
• Требование цифровой подписи кода режима ядра.
• Исправление
• Использование компиляторов , которые отлавливают переполнение буфера ^[11]
• Шифрование компонентов программного обеспечения и/или прошивки .
• Использование операционной системы с обязательным контролем доступа (MAC), такой как SELinux ^[12]
• Механизм перемещения данных ядра (динамически перемещает информацию о привилегиях в работающем ядре, предотвращая атаки повышения привилегий с использованием повреждения памяти)

Недавние исследования показали, что может эффективно обеспечить защиту от атак повышения привилегий. К ним относится предложение дополнительного наблюдателя ядра (AKO), который специально предотвращает атаки, направленные на уязвимости ОС. Исследования показывают, что AKO на самом деле эффективен против атак повышения привилегий. ^[13]

Горизонтальный

Горизонтальное повышение привилегий происходит, когда приложение позволяет злоумышленнику получить доступ к ресурсам , которые обычно были бы защищены от приложения или пользователя . Результатом является то, что приложение выполняет действия с тем же пользователем, но с другим контекстом безопасности, чем предполагал разработчик приложения или системный администратор ; это фактически ограниченная форма повышения привилегий (в частности, несанкционированное предположение о возможности выдавать себя за других пользователей). По сравнению с вертикальным повышением привилегий, горизонтальное не требует обновления привилегий учетных записей. Оно часто полагается на ошибки в системе. ^[14]

Примеры

Эта проблема часто возникает в веб-приложениях . Рассмотрим следующий пример:

• Пользователь А имеет доступ к своему банковскому счету в приложении интернет-банкинга.
• Пользователь B имеет доступ к своему банковскому счету в том же приложении интернет-банкинга.
• Уязвимость возникает, когда пользователь А может получить доступ к банковскому счету пользователя Б, выполнив какие-либо вредоносные действия.

Такая вредоносная деятельность может быть возможна из-за распространенных слабостей и уязвимостей веб-приложений.

Потенциальные уязвимости веб-приложений или ситуации, которые могут привести к такому состоянию, включают:

• Предсказуемые идентификаторы сеансов в HTTP-cookie пользователя
• Фиксация сеанса
• Межсайтовый скриптинг
• Легко угадываемые пароли
• Кража или перехват сеансовых cookie-файлов
• Регистрация нажатий клавиш

Смотрите также

• Кибербезопасность
• Защитное программирование
• Взлом бытовой электроники
• Незаконный номер
• Принцип наименьших привилегий
• Отзыв привилегий (вычисления)
• Разделение привилегий
• Получение прав root (ОС Android)
• Молоток для гребка

Ссылки

1. Таймур Асад (27 октября 2010 г.). «Apple признает уязвимость безопасности iOS 4.1. Исправит ее в ноябре в iOS 4.2». RedmondPie. Архивировано из оригинала 18 февраля 2013 г. Получено 5 ноября 2010 г.
2. "Определение JAILBREAK". www.merriam-webster.com . Архивировано из оригинала 24 декабря 2022 г. Получено 24 декабря 2022 г.
3. Сайрус Пейкари; Антон Чувакин (2004). Security Warrior: Know Your Enemy . "O'Reilly Media, Inc.". стр. 304. ISBN 978-0-596-55239-8.
4. Джеймс Квинтана Пирс (27.09.2007), Разногласия Apple с Orange, хакеры iPhone, paidContent.org, архивировано из оригинала 29.07.2012 , извлечено 25.11.2011
5. "Отчеты: Следующее обновление iPhone сломает сторонние приложения, сократит разблокировку]". Computerworld на v1.1.3 . Архивировано из оригинала 2008-01-04 . Получено 2008-01-01 .
6. Phat^Trance (16 февраля 2010 г.). "Объявление: Форум закрыт на обслуживание". dailymobile.se . Архивировано из оригинала 3 марта 2009 г. Получено 30 августа 2016 г. Просто хотел сообщить вам, что форум закрыт на обслуживание. Он снова заработает через день или около того (я немного испортил файлы конфигурации и мне нужно восстановить резервную копию однодневной давности, поэтому я подумал, почему бы не обновить всю серверную платформу)
7. "HelloOX 1.03: одношаговый взлом для телефонов Symbian S60 3rd ed. и Nokia 5800 XpressMusic тоже". Архивировано из оригинала 2020-08-07 . Получено 2009-07-06 .
8. "Обход Symbian Signed и установка неподписанных SISX/J2ME Midlets на Nokia S60 v3 с полными системными разрешениями". Архивировано из оригинала 2016-09-11 . Получено 2009-07-06 .
9. "Что такое джейлбрейк в моделях ИИ, таких как ChatGPT?". Архивировано из оригинала 2023-12-01 . Получено 2023-11-01 .
10. "Побег из тюрьмы" ChatGPT пытается заставить ИИ нарушить свои собственные правила или умереть". Архивировано из оригинала 2023-03-02 . Получено 2023-11-01 .
11. "Microsoft минимизирует угрозу переполнения буфера, создает надежные приложения". Microsoft . Сентябрь 2005 . Получено 2008-08-04 . ^{[ мертвая ссылка ]}
12. Смолли, Стивен. «Закладка надежного фундамента для мобильных устройств» (PDF) . Архивировано из оригинала (PDF) 28 августа 2017 г. . Получено 7 марта 2014 г. .
13. Ямаути, Тосихиро; Акао, Ёхэй; Ёшитани, Рёта; Накамура, Юичи; Хашимото, Масаки (август 2021 г.). «Дополнительный наблюдатель ядра: механизм предотвращения атак с повышением привилегий, сосредоточенный на изменениях привилегий системных вызовов». Международный журнал информационной безопасности . 20 (4): 461–473. doi : 10.1007/s10207-020-00514-7 . ISSN  1615-5262. Архивировано из оригинала 24.05.2024 . Получено 10.11.2023 .
14. Диоген, Юрий (2019). Кибербезопасность - Стратегии нападения и защиты - Второе издание. Эрдал Озкая, Safari Books Online (2-е изд.). С. 304. ISBN 978-1-83882-779-3. OCLC  1139764053. Архивировано из оригинала 2024-05-24 . Получено 2022-08-13 .