Yetki Yükseltmesi (Privilege Escalation) Hakkında Bilmeniz Gerekenler

Yetki Yükseltmesi (Privilege Escalation) Hakkında Bilmeniz Gerekenler

Nis 24, 2022 / Kron

 

Hızla ilerleyen teknoloji, olumlu gelişmelerin yanı sıra Yetki Yükseltmesi olarak da bilinen Privilege Escalation gibi güvenlikle ilgili pek çok sorunu da beraberinde getiriyor. Aslında biraz karmaşık görünen bir siber güvenlik terimi olan Yetki Yükseltmesi güvenlik çevresi dahilindeki sistemlere yetkisiz biçimde erişmek için kullanılan ağ saldırıları şeklinde tanımlanıyor. Doğru teknoloji uygulamaları her yönden yüksek verimliliğin kapısını aralarken, uygulamaların zayıf noktaları siber suçlular için açık hedefler haline gelebiliyor.

Siber saldırı yoluyla sistemde daha üst haklar elde etmeye çalışan iç veya dış tehditler, yazılımlardaki yetersiz güvenlik kontrollerinden faydalanıyor ve Yetki Yükseltmesi ile hedef sistem üzerindeki iletişimi kontrol etmeyi ve denetimini artırmayı hedefliyor.

Yetki Yükseltmesi (Privilege Escalation) Nedir?

Son zamanlarda sıkça karşımıza çıkan Yetki Yükseltmesi (Privilege Escalation) terimi, bir kullanıcının etkisinin üstündeki haklara yasa dışı olarak erişim elde etme çabasını içeren bir siber tehdit durumunu ifade ediyor. Yetki Yükseltmesi ile gerekli ayrıcalıklara sahip olmayan bir kullanıcı; işletim sistemi veya uygulamadaki tasarım kusurunu, hatayı ya da yapılandırmadaki bir hatayı görüntüleyebiliyor ve hassas bilgilere yetkisiz erişim sağlıyor. Siber saldırı zinciri üzerinde önemli bir konuma sahip olan Privilege Escalation aracılığıyla siber saldırgan sunucu veya işletim sistemini farklı komutlarla çalıştırma, kötü amaçlı yazılımların ağa sızmasını sağlama gibi eylemleri gerçekleştirebilir, hassas veri ihlali yapabilir, sistemin kaynaklarına ulaşabilir veya sistemi tamamen devralabilir.

Sunucu uygulamalarınıza, işletim sisteminize ciddi biçimde zarar verme potansiyeline sahip olan Privilege Escalation çok aşamalı bir saldırı olarak kurumunuzun işleyişi ve itibarı için de oldukça tehlikelidir. Davetsiz kullanıcıların sistemde kod çalıştırma gibi işlemeler yapmasına izin veren Yetki Yükseltmesi, başlı başına bir bilgi güvenliği sorunu olarak değerlendirmelidir. Sistemde Yetki Yükseltmesi girişiminden şüphelenilmesi, söz konusu sistem içerisindeki gizli, hassas ve kişisel verilere yetkisiz erişim yapıldığı anlamına gelebilir.

Yetki Yükseltme Türleri

Bir siber saldırganın keşif yaptığı bir sistem üzerindeki güvenlik açığından faydalanarak düşük seviyeli bir hesaba erişim sağlaması ile başlayan yetki yükseltme sürecinin iki türü bulunuyor. Saldırgan sistem üzerindeki hakimiyetini artırmak için Horizontal Privilege Escalation (Yatay Yetki Yükseltmesi) veya Vertical Privilege Escalation (Dikey Yetki Yükseltmesi) yöntemlerinden birini kullanıyor. Yatay yetki yükseltmesinde güvenlik açığını kullanarak sisteme sızan saldırgan benzer ayrıcalıklı erişime sahip olan kullanıcı hesaplarına ulaşmaya çalışıyor. Dikey yetki yükseltmesinde tehdit aktörü düşük seviyeli hesapla sızdığı sistem üzerindeki daha yüksek ayrıcalıklı erişim yönetimi sahibi hesapları ele geçirmeye çalışıyor.

  • Yatay Yetki Yükseltmesi: Yatay yetki yükseltmesi saldırının siber saldırıyı başlatan kullanıcının erişim düzeyindeki benzer hesaplara veya işlem veri ve işlevlerine erişmesi anlamına geliyor. Ancak saldırgan tehdit ettiği hesapla ilgili aktif yetkileri yükseltmeye ve erişim seviyesini yükseltmeye çalışmıyor. Saldırgan sadece verilen yasal kullanıcı ayrıcalıklarını kötüye kullanarak ayrıcalık alanını genişletiyor, örneğin bir e-ticaret sitesindeki kimlik doğrulama basamağını atlıyor ve bir kullanıcının hesabına erişiyor. Sonuç olarak tehdit, zayıf güvenlik politikalarına sahip sistemlerdeki nispeten erişim güvenliği düşük seviyeli kullanıcı hesaplarından yararlanıyor.
  • Dikey Yetki Yükseltmesi: Dikey yetki yükseltmesinde sisteme düşük yetkili bir noktasından giriş yapan saldırgan hedeflediği kullanıcı ya da işlem seviyesine ulaşana kadar ayrıcalıklarını yükseltmeye devam ediyor. Bir sistem üzerindeki yetki düzeyleri genellikle bir ayrıcalık seviyesine sahip kullanıcının daha yüksek seviyedeki kaynaklara erişebilmesini mümkün kılacak şekilde tasarlanıyor. Dikey yetki yükseltmesi yönteminde saldırgan önce kök düzeyinde erişim elde ediyor ve daha sonra kimlik bilgilerinden hassas verileri çalmaya, ransomware (fidye yazılımı) indirmekten verileri silmeye kadar birçok eylem gerçekleştirebiliyor. Saldırganın erişim günlükleri ve etkinlik verileri gibi bilgileri silebilmek üzere yetki yükseltmesi veri ihlallerinin ve dolayısıyla dikey yetki yükseltmesinin izlerinin keşfedilmesini güçleştiriyor. Böylelikle kurtarmak için önlem almak zorlaşıyor ve siber saldırganlar kullanıcılar saldırının gerçekleştiğini bile fark edemeden sisteme veya ağa malware (kötü amaçlı yazılım) yerleştirmek için zaman kazanıyor.

Yetki Yükseltme Nasıl Çalışır?

Yapılandırmadaki aksaklıklar, yazılım hataları ve yanlış erişim kontrolleri gibi güvenlik açıklarından faydalanan yetki yükseltmesi, saldırganın kullanıcı hesabına izin verilmeyen verilere erişmek için yapılan siber saldırı zincirinin bir katmanını temsil ediyor. Yetki yükseltmesindeki tehdit unsuru bir ağ ya da sistem içerisindeki Web Uygulama Sunucuları ve Uygulama Programlama Arayüzleri gibi birçok hassas noktalar olabilir.

Sistem içerisindeki her lokal oturum, etkileşimli oturum veya uzaktan erişim oturumu bir tür yetkili erişimi ifade ediyor. Yetkili erişim türleri sadece yerel olarak oturum açmaya izin veren ayrıcalıklardan yönetici veya kök ayrıcalıklarına ve sistem denetimine kadar sistemdeki tüm erişim seçeneklerini kapsıyor. Standart bir kullanıcı sistemdeki veri tabanları, hassas dosyalara ve diğer kaynaklara sınırlı erişim ayrıcalığına sahiptir.  Kimi durumlarda kullanıcılar kaynaklara yüksek erişim ayrıcalığına sahip olmasına rağmen yetkilerinden daha fazla erişim gerektiren görevler yapmadıkları için ayrıcalıklarının farkında olmayabilirler. Böyle bir kullanıcının hesabına erişen siber saldırgan kullanıcının ayrıcalıklarını kötüye kullanarak sisteme sızabilir ve sistemde geçirdikleri süre içerisinde keşif yaparak kullanıcının ayrıcalıklarını artırabilir.

Yetki Yükseltme Saldırıları ve Saldırı Yöntemleri

Sistemde bir yer edinen siber saldırganlar hedeflerine göre yatay veya dikey olarak yetki yükseltmesi ile sistem üzerinde ilerlemeye başlıyor. İlk sızma hedefi gerçekleştikten sonra saldırganlar öncelikle sistemi keşfetmek üzere gözlüyor ve hedefini gerçekleştirmek üzere doğru fırsatı bekliyor. Bir yandan eylemlerini gerçekleştiren saldırganlar bir yandan da sistem üzerindeki faaliyetlerini temizliyor ve böylelikle tespit edilmeleri güçleşiyor. Saldırganlar bunun için kaynak IP adreslerini maskeleyerek veya kullandıkları kimlik bilgilerine ait kayıtları silerek faaliyetlerini gizliyor. Sistemde bir tehdit tespit edildiğinde, sistemdeki tehdit unsuru takip edilebilir veya erişim oturumu duraklatılabilir ya da sonlandırılabilir.

Siber saldırı zincirindeki ikinci basamak genellikle başlangıçta ele geçirilen hesaptan yönetici kök veya daha yüksek yetkili hesaplara yetki yükseltmesini içeriyor. Saldırıya uğrayan ilk hesabın yönetici veya kök hesabı olması halinde tehdit unsuru hedeflerine daha kolay biçimde ulaşabiliyor.

Sisteme sızan bilgisayar korsanlarının ele geçirdikleri veya geçirmeye çalıştıkları hesaplar üzerinden gerçekleştirdikleri yetki yükseltme saldırısı genel olarak beş basamaktan oluşuyor. Bunlar:

  1.    Güvenlik açığının bulunması
  2.    İlgili yetki yükseltmesinin oluşturulması
  3.    İstismarın sistemde kullanılması
  4.    Sisteme başarılı şekilde sızılıp sızılmadığının kontrol edilmesi
  5.    Ek yetkiler elde edilmesi

Öte yandan, güvenlik açıklarının veya istismar edebilecekleri şirket çalışanlarının peşinde olan saldırganlar aşağıdaki yöntemlerden faydalanarak yetki yükseltmenin (privilege escalation) arayışında olabiliyor:

  • Kimlik bilgilerini kullanma: Kullanıcı adı ve parola gibi tek faktörlü kimlik bilgileri kullanıcının kimlik doğrulaması yapması için kullanılıyor. Kimlik bilgilerini ele geçiren siber saldırgan hassas verilere ve sistemlere doğrudan erişim yetkisine de sahip oluyor ve öncelikle bir sistem yöneticisi hesabına erişim sağlamayı hedefliyor. Sistem yöneticisinin kimlik bilgilerine ve erişimine ulaşan siber saldırgan sistemde yanal olarak şüphe uyandırmadan hareket edebiliyor.
  • Sistemdeki güvenlik açıkları ve istismarlar: Güvenlik açıkları tasarım, kod, yapılandırma ve uygulamada meydana gelen ve kötü niyetli etkinliklerin gerçekleşmesine fırsat tanıyan hatalar olarak tanımlanabilir. Sistemdeki güvenlik açıkları işletim sisteminden kaynaklar arasındaki protokollere, web uygulamalarından altyapıya kadar birçok noktada ortaya çıkabilir. Sistemde güvenlik açığı olması yetki yükseltmesi uygulamasının başarılı olacağı anlamına değil yetki yükseltmesi riski olduğu anlamına geliyor.

Yetki kazanabilen, kod üretebilen ve tespit edilmeden işlevine devam eden istismar (exploit) sadece güvenlik açığına değil istismarın yürütüldüğü hesabın yetkilerine de bağlı olarak çalışıyor. İstismarlar sadece ele geçirdikleri kaynağın sınırları dahilinde işlem yapabilir. Sistemde düzeltmeden kaynaklanan bir güvenlik açığı olmadığında bu işlemlere devam edilemiyor. Kullanıcı veya güvenlik açığına sahip olan uygulama düşük yetkilere sahip olduğunda veya dikey yetki yükseltmesi mümkün olmadığında istismarın yetenekleri kısıtlanıyor veya istismar başarısız olabiliyor.

  • Yanlış yapılandırma: Bir diğer faydalanılabilir güvenlik açığı biçimlerinden biri olan yanlış yapılandırma, ek bir yazılım gerektirmeyen fakat istismar edilme riskini azaltan bir değişiklik gerektiren kusurlar olarak tanımlanıyor.  Azaltma faktörleri genellikle ayarlarda veya desteklenen özelliklerde yapılan değişiklikleri ifade ediyor.

Yetki yükseltmesi için etkili en yaygın yapılandırma sorunları zayıf varsayılan güvenlik ayarlarına sahip kullanıcı hesaplarından oluşuyor. İlk yapılandırmada oluşturulan yönetici ve kök hesaplar için kullanılan parolalar, ilk kurulumdan sonra güvenli olmayan erişime devam edilmesi gibi etkinlikler zayıf güvenlik ayarlarına örnek olarak gösterilebilir. Eğer söz konusu zayıflıklar yeterince ciddiyse siber saldırgan kolaylıkla sisteme erişim sağlıyor ve yönetici veya kök yetkilerine ulaşabiliyor.

  • Malware (Kötü amaçlı yazılım): Casus yazılım, virüs, reklam yazımını, fidye yazılımı gibi bir kaynağa yönelik olarak tasarlanan ve istenmeyen yazılım sınıfını ifade eden malware, veri hırsızlığı, gözetim, kontrol ve komuta gibi eylemleri gerçekleştirmeyi hedefliyor. Malware bir siber suç aracı olarak kaynağa güvenlik açığı ve istismar kombinasyonları, yasal kurulumlar, tedarik zincirindeki zayıflıklar ve internet saldırıları yoluyla veya kimlik avı yoluyla sosyal mühendislik yöntemleriyle yüklenebilir.
  • Sosyal mühendislik: Sosyal mühendislik saldırıları insanların e-posta, kısa mesaj gibi yöntemlerle psikolojik olarak manipüle edilip bilgilerinin ele geçirilmesine dayanıyor. İyi hazırlanan bir metin kullanıcıyı kolayca ikna edebiliyor ve siber saldırgan kullanıcı bilgilerine ulaşabiliyor. Sosyal mühendislik insanların güvenilirlik, saflık, samimiyet ve merak gibi kişilik özelliklerinden faydalanıyor.

Yetki Yükseltme Saldırıları Nasıl Engellenir?

Yetki yükseltme saldırıları pek çok biçimde başlayıp sonsuz senaryolar üzerinden ilerleyebildiği için söz konusu saldırılardan korunmak için birçok savunma stratejisi uygulamak gerekiyor. Kimlik merkezi bir yaklaşımla birlikte yetkili erişim güvenliği kontrolleri uygulamak saldırılardan korunmak ve saldırının ilerlemesinin önüne geçmek için etkili olabilir.

  • Saldırganlar tarafından ele geçirilebilecek bir hesap kalmadığına emin olmak için kimliklerin provizyon ve deprovizyonu da dahil olmak üzere kimlik yaşam döngüsünün yönetimini tam olarak ele alın.
  • Sistem dahilindeki insanlar ve makineler için güçlü kimlik bilgisi uygulamalarını tutarlı şekilde kullanmak için bir parola yönetimi çözümü kullanın.
  • Least privilege uygulaması ile kullanıcıların yönetici haklarını kısıtlayın ve kullanıcı yetkilerini gereken en düşük seviyeye indirin.
  • Siber saldırılar yatay ve dikey olarak gerçekleştirilebileceği için uzaktan erişim güvenliği takibi ve yönetimini düzenli olarak yapın.
  • Yama uygulamaları, yanlış yapılandırma gibi güvenlik açıklarını sürekli tanımlayarak ve gidererek güvenlik açığını yönetin.
  • Meşru olmayan bir yatay veya dikey yetki yükseltmesi hareketini kısa sürede tespit etmek için tüm yetkili oturumları izletin ve yönetin.

Kimlik bilgilerinin yetki yükseltmesinden kaynaklanan veri ihlalleri bir sistem ve ağ uygulamalarında yukarıda da açıklandığı üzere çok ciddi sorunlara yol açabiliyor. Bir sistemi siber saldırılara ve artan yetki yükseltmesi eylemlerine karşı koruma altına almak giderek daha zor bir hale gelse de hem iç tehditler (insider threats) hem de dış tehditleri (external threats) engellemek için geliştirilen Privileged Access Management (PAM) sistemleri uçtan uca veri ve erişim güvenliği açısından büyük avantaj sağlıyor.

Günümüzün hızla dijitalleşen iş dünyasındaki iddiasını güvenli sistemleriyle de ortaya koymak isteyen kurumlar için geliştirdiğimiz Ayrıcalıklı Erişim Yönetimi ürünümüz Single Connect, yetki yükseltmesine neden olabilecek tüm kötü niyetli aktiviteleri tespit ederek, yetkili hesaplarınızı ve kritik dijital varlıklarınıza olan erişimi koruma altına alıyor.

Siz de Single Connect’i kullanarak yetkili oturumları kontrol edebilir, yetki yükseltmesi tehlikesine karşı kullanıcıları eş zamanlı yer ve zaman doğrulaması isteyen İki Faktörlü Kimlik Doğrulama (2FA) ile doğrulayabilir, Zero Trust methoduna uygun şekilde siber güvenliğinizi üst seviyelere çıkarabilir veya Veritabanı Erişim Yöneticisi & Dinamik Veri Maskeleme ile sistem üzerindeki hareketleri kaydedip, dinamik maskeleme yöntemiyle verilerinizi maskeleyebilirsiniz. Bu sayede ister şirket çalışanlarınıza, ister üçüncü parti erişimlere karşı dijital varlıklarınızı güvence altına alabilirsiniz. Bir başka koruma mekanizması olarak, parola kasası özelliğine de sahip olan Merkezi Parola Yönetimi ile önemli veritabanlarına erişim sırasında talep edilen parolaları çeşitli onay mekanizmalarına tabi tutabilir, parola paylaşımını ortadan kaldırarak parola yönetimini güvenli bir şekilde yürütebilirsiniz.

Gelişmiş modülleriyle ölçeklenebilir olan Single Connect ürün ailesi hakkında daha detaylı bilgi almak için bizimle iletişim kurabilirsiniz.

Diğer Bloglar