Privilege Escalation

Privilege Escalation lässt sich am besten mit der Situation eines regulären Mitarbeiters in einem Unternehmen vergleichen, der eigentlich nur Zugriff auf seinen eigenen, begrenzten Aufgabenbereich haben sollte, aber durch eine Schwachstelle im internen Berechtigungssystem unerwartet Zugriff auf vertrauliche Geschäftsführungsunterlagen erlangt, für die er gar nicht autorisiert ist. Bei Privilege Escalation findet ein Angreifer einen technischen Weg, sich von einem ursprünglich begrenzten Berechtigungsniveau – etwa einem normalen Nutzerkonto – zu höheren, eigentlich nicht zugestandenen Rechten vorzuarbeiten, im Extremfall bis hin zu vollständigen Administratorrechten. Man unterscheidet dabei häufig zwischen vertikaler Privilege Escalation, bei der ein Angreifer von niedrigeren zu deutlich höheren Berechtigungsstufen aufsteigt (etwa von normalem Nutzer zu Administrator), und horizontaler Privilege Escalation, bei der ein Angreifer zwar auf demselben grundsätzlichen Berechtigungsniveau bleibt, aber unautorisiert auf die Daten oder Funktionen eines anderen Nutzers mit gleichem Berechtigungsniveau zugreifen kann – etwa wenn ein Kunde durch eine Schwachstelle die Bestellungen eines völlig anderen Kunden einsehen kann, obwohl beide eigentlich dieselben, eingeschränkten Rechte besitzen sollten. Privilege Escalation ist häufig die direkte Folge anderer, vorgelagerter Sicherheitslücken wie Broken Authentication oder unzureichend geprüfter Middleware, die eigentlich die korrekte Zuordnung von Berechtigungen sicherstellen sollte. Eine solide Verteidigung gegen Privilege Escalation basiert deshalb auf dem Prinzip der minimalen Rechtevergabe (“Principle of Least Privilege”): Jeder Nutzer und jeder Systemprozess sollte grundsätzlich nur genau die Rechte besitzen, die für seine konkrete Aufgabe tatsächlich notwendig sind, nicht mehr.