Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
O que é Elevação de Privilégio e Por que é Significativo?

O que é Elevação de Privilégio e Por que é Significativo?

Sep 5, 2018

A escalada de privilégios é uma tática comum presente em quase todos os ciberataques hoje em dia. Insiders maliciosos, grupos de ransomware e outros atores de ameaças frequentemente a utilizam em combinação com movimento lateral para atravessar a rede de uma vítima e obter acesso não autorizado a recursos de TI sensíveis. Direitos de acesso elevados são vitais para atividades maliciosas, incluindo o roubo de dados sensíveis, interrupção das operações comerciais e criação de backdoors para futuras etapas de um ataque. Devido ao uso generalizado de Active Directory, ataques de escalada de privilégios no Windows são mais comuns do que assaltos de privilégios no Linux, embora ambos sejam observados na natureza.

Baixe o guia gratuito:

Por que Privilégios Elevados são Importantes para os Atacantes

Privilégios elevados são as chaves do reino de que os atores de ameaças precisam para modificar configurações de sistema, permissões de dados e controles de segurança. Os atacantes geralmente obtêm acesso a uma rede usando uma conta de usuário padrão comprometida. A elevação de privilégio é alcançada roubando as credenciais de um administrador de sistema ou conta de serviço de alto nível; isso permite acesso a servidores críticos, dispositivos de rede, repositórios de dados e sistemas de backup.

Infelizmente, a capacidade de escalar privilégios é frequentemente fácil até mesmo para hackers inexperientes porque muitas organizações não possuem medidas de segurança adequadas. De fato, o controle de acesso é configurado com muita frequência pensando na conveniência em vez da aplicação do the principle of least privilege.

Escalada de Privilégios Horizontal vs Vertical

Os ciberataques frequentemente envolvem a exploração de algum tipo de vulnerabilidade, como um sistema sem atualizações, configuração inadequada ou erro de programação. Uma vez que um sistema foi comprometido, o atacante realiza reconhecimento para identificar usuários privilegiados para comprometer e maneiras de aumentar os direitos de acesso das contas que já controlam.

Existem dois tipos de escalonamento de privilégios que os atores de ameaças utilizam:

  • Escalada de privilégios horizontal — Um atacante compromete uma conta e, em seguida, obtém acesso ao mesmo nível de privilégios ou permissões que outro usuário ou aplicativo em um sistema diferente. Por exemplo, após comprometer a conta de um usuário de banco pela internet, um adversário pode ganhar acesso à conta de outro usuário aprendendo seu ID e senha.
  • Escalamento de privilégio vertical (também conhecido como elevação de privilégio ou EoP) — Um usuário mal-intencionado obtém acesso a uma conta de nível inferior e explora uma fraqueza no sistema para obter acesso administrativo ou de nível root a um recurso ou sistema. O escalamento de privilégio vertical requer técnicas de ataque mais sofisticadas do que o escalamento de privilégio horizontal, como ferramentas de hacking que ajudam o atacante a obter acesso elevado a sistemas e dados.

Como ocorre a escalada de privilégios?

Atacantes que tentam realizar ações não autorizadas frequentemente usam exploits de escalonamento de privilégios. Esses exploits envolvem fraquezas conhecidas ou descobertas que envolvem um sistema operacional, componente de software ou má configuração de segurança. O ataque geralmente envolve este processo de cinco etapas:

  1. Encontre uma vulnerabilidade.
  2. Crie o exploit de escalonamento de privilégio relacionado.
  3. Use o exploit em um sistema.
  4. Verifique se ele explora o sistema com sucesso.
  5. Obtenha privilégios adicionais se necessário.

Quais são as principais técnicas de escalonamento de privilégios?

Existem várias técnicas de escalonamento de privilégios que os atacantes utilizam. Três das mais comuns são:

  • Manipulando tokens de acesso
  • Burlando o controle de conta de usuário
  • Usando contas válidas

Técnica 1: Manipulação de Token de Acesso

A manipulação de token de acesso tira proveito da forma como o Windows gerencia privilégios de administrador. Um token de acesso é criado por um sistema Windows no momento do login do usuário. Ao modificar um token de acesso, um adversário pode enganar o sistema para permitir que ele execute uma tarefa do sistema ou ganhe acesso a um processo ou serviço em execução que exija privilégios elevados.

Os adversários podem aproveitar os tokens de acesso usando um dos três métodos:

  • Falsificar ou roubar um token — Um adversário pode criar um novo token de acesso que duplica um token existente usando a função DuplicateToken(Ex). O token pode então ser usado com a função ImpersonateLoggedOnUser para permitir que a thread de chamada se passe pelo contexto de segurança de um usuário logado, ou com a função SetThreadToken para atribuir o token falsificado a uma thread.
  • Crie um processo com um token — Isso ocorre quando um adversário cria um novo token de acesso com a função DuplicateToken(Ex) e o utiliza com a função CreateProcessWithTokenW para criar um novo processo que é executado sob o contexto de segurança do usuário impersonado. Isso pode ser útil para criar um novo processo sob o contexto de segurança de um usuário diferente.
  • A usurpação de token — Aqui um adversário possui um nome de usuário e senha, mas o usuário não está logado no sistema. O adversário pode criar uma sessão de logon para o usuário com a ajuda de LogonUser. A função retornará uma cópia do token de acesso da nova sessão, e o adversário pode usar SetThreadToken para atribuir esse token a uma thread.

Como mitigar esta ameaça

Os tokens de acesso são uma parte integrante do sistema de segurança do Windows e não podem ser desativados. No entanto, um atacante precisa já ter acesso de nível administrador para fazer uso completo desta técnica. Portanto, você precisa atribuir direitos de acesso de acordo com o princípio do menor privilégio e garantir que todos os direitos de acesso sejam regularmente revisados. Você também precisa manter um monitoramento cuidadoso das contas privilegiadas e responder prontamente a sinais de atividade suspeita realizada por essas contas. Idealmente, você pode substituir quase todas as contas administrativas permanentes por just-in-time access.

Técnica 2: Contornando o Controle de Conta de Usuário

O recurso de controle de conta de usuário (UAC) do Windows funciona como um portal entre usuários normais e contas com privilégios de administrador. Ele limita o software de aplicação a permissões de usuário padrão até que um administrador autorize um aumento de privilégios. É necessário que um administrador insira suas credenciais para ultrapassar a solicitação. Dessa forma, apenas aplicações confiáveis pelo usuário podem receber privilégios administrativos, impedindo que malware comprometa o sistema operacional.

Este mecanismo não é perfeito, no entanto. Se o nível de proteção UAC de um computador estiver configurado para qualquer coisa que não seja o nível mais alto, alguns programas do Windows têm permissão para elevar privilégios ou executar objetos do Component Object Model (COM) que são elevados sem solicitar a autorização do usuário primeiro.

Como mitigar esta ameaça

Você precisa verificar regularmente o ambiente de TI para detectar fraquezas comuns de bypass do UAC e abordar os riscos de maneira adequada. Outra boa prática é revisar regularmente quais contas estão nos seus grupos de administradores locais em todos os sistemas Windows e remover usuários comuns desses grupos. Você pode fazer isso usando Group Policy ou Intune.

Técnica 3: Usando Contas Válidas

Adversários podem utilizar técnicas de acesso a credenciais como preenchimento de credenciais, manipulação de contas ou engenharia social para comprometer as credenciais de usuários legítimos. Eles podem até mesmo obter acesso a sistemas e serviços remotos usando uma VPN ou conexão de área de trabalho remota. Uma das principais preocupações aqui é a sobreposição de credenciais e permissões pela rede, pois adversários podem ser capazes de alternar entre contas e sistemas para alcançar um nível mais alto de acesso, como Admin de Domínio ou Admin de Empresa.

Como mitigar esta ameaça

Uma das maneiras mais eficazes de mitigar essa ameaça é impor uma política de password policy forte para todas as contas que inclua requisitos de comprimento e complexidade de senha. Além disso, altere as senhas de todas as contas administrativas regularmente e use senhas únicas para a conta de administrador local em cada sistema para impedir que os atacantes se movam lateralmente pela rede à vontade, comprometendo uma única conta de administrador local.

Também é importante monitorar o ambiente de TI para comportamentos suspeitos de usuários que possam indicar uma ameaça em andamento. A detecção precoce é imperativa.

Como Proteger Contra a Escalada de Privileged Access Management

Embora não haja maneira de proteger completamente seu ambiente contra hackers e insiders mal-intencionados que pretendem escalar privilégios, você pode reduzir o risco de escalonamento de privilégios endurecendo as superfícies de ataque dos sistemas operacionais e softwares de seus endpoints e reforçando o principle of least privilege para todos os recursos. Você também deve exigir autenticação multifator para proporcionar melhor segurança sempre que for justificado, com base no risco associado à atividade que está sendo tentada. Realize avaliações de risco regulares para detectar e avaliar riscos aos seus arquivos sensíveis e tome medidas para proteger os dados de acordo com seu valor.

Muitas empresas utilizam algum tipo de solução de Privileged Access Management (PAM). A Netwrix Privileged Access Management Solution oferece visibilidade sobre os privilégios em todos os seus sistemas e aplicações. Ela alerta você quando novas contas privilegiadas são criadas ou modificadas e descobre contas privilegiadas que você pode nem mesmo conhecer. Em resumo, coloca você no comando dos privilégios em todo o seu patrimônio de TI.

Combinar uma solução de Privileged Access Management (PAM) com a adesão às melhores práticas de segurança pode ajudar a bloquear a escalada de privilégios e o movimento lateral para evitar perda de dados, interrupção dos negócios e penalidades de conformidade.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Atributos do Active Directory: Último Logon

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança