特權提升漏洞是企業內部人員在網絡上進行未經授權的活動時最常見的漏洞，無論是出于惡意目的還是以危險的方式下載有風險的工具。

Crowdstrike 根據 2021 年 1 月至 2023 年 4 月期間收集的數據發布的一份報告顯示，內部威脅正在上升，而利用權限升級缺陷是未經授權活動的重要組成部分。

該報告稱，該公司記錄的內部威脅中有 55% 依賴于權限升級漏洞，而其余 45% 通過下載或濫用攻擊性工具無意中引入了風險。

內部人士通常會反對他們的雇主，因為他們
出于惡意或由于與主管的分歧
而獲得了經濟獎勵
?。

當事件不是針對公司的惡意攻擊（例如利用漏洞安裝軟件或執行安全測試）時，CrowdStrike 還將事件歸類為內部威脅。?

然而，在這些情況下，盡管它們不用于攻擊公司，但它們通常以危險的方式使用，可能會將威脅或惡意軟件引入威脅行為者可能濫用的網絡。

Crowdstrike 發現，從目標組織內部發起的攻擊，惡意事件的平均成本為 648000 美元，非惡意事件的平均成本為 485000 美元。到 2023 年，這些數字可能會更高。

除了內部威脅帶來的巨大財務成本之外，Crowdstrike
?還強調了品牌和聲譽損害的間接影響。

典型的內部攻擊

Crowdstrike 解釋說，利用權限升級漏洞來獲取管理權限對于許多內部攻擊至關重要，因為在大多數情況下，流氓內部人員都會從對其網絡環境的低級別訪問開始。

更高的權限允許攻擊者執行諸如下載和安裝未經授權的軟件、擦除日志，甚至使用需要管理員權限的工具診斷計算機上的問題等操作。

根據 CrowdStrike 的觀察，流氓內部人員最常利用的本地權限升級缺陷如下：

• CVE-2017-0213：Windows 缺陷允許通過 COM 基礎設施利用提升權限。
• CVE-2022-0847??(?DirtyPipe
  ?)：Linux 內核管道操作管理缺陷。
• CVE-2021-4034 (?PwnKit
  ?)：影響 Polkit 系統服務的 Linux 缺陷。
• CVE-2019-13272：與內核進程中用戶權限處理不當相關的 Linux 漏洞。
• CVE-2015-1701：涉及內核模式驅動程序“win32k.sys”的 Windows 錯誤，用于未經授權的代碼執行。
• CVE-2014-4113：同樣針對“win32k.sys”，但涉及不同的利用方法。

上述缺陷已列在 CISA 的已知利用漏洞目錄 (KEV) 中，因為它們歷史上曾被威脅行為者用于攻擊。

即使系統已針對這些缺陷進行了修補，內部人員也可以通過其他方式獲得提升的權限，例如以提升的權限運行的應用程序中的 DLL 劫持缺陷、不安全的文件系統權限或服務配置，或者自帶易受攻擊的驅動程序 (BYOVD) 攻擊
。

Crowdstrike 發現多起影響歐洲一家零售公司的 CVE-2017-0213 漏洞利用案例，該公司的一名員工通過 WhatsApp 下載漏洞利用程序來安裝 uTorrent 并玩游戲。

另一起案件涉及美國一家媒體實體的一名被解雇的員工。

一家澳大利亞科技公司的一名員工發現了 PwnKit 漏洞，該員工試圖獲得用于計算機故障排除的管理權限。

CVE-2015-1701 漏洞利用的一個示例涉及一名美國科技公司員工，該員工試圖繞過現有控制來安裝未經授權的 Java 虛擬機。

雖然幾乎所有這些內部威脅事件都不會被視為惡意攻擊，但它們會通過修改設備的運行方式或可能在網絡上運行惡意或不安全的程序來引入風險。

內部錯誤會帶來風險

Crowdstrike 記錄的內部事件中近一半涉及無意的事故，例如漏洞測試失控、在沒有適當保護措施的情況下執行攻擊性安全工具以及下載未經審查的代碼。

例如，CrowdStrike 表示，一些事件是由安全專業人員直接在生產工作站上測試漏洞和漏洞工具包引起的，而不是通過與網絡其余部分隔離的虛擬機。

分析師報告稱，大多數此類案例涉及 Metasploit Framework 和 ElevateKit 等工具，而最常因粗心活動而引入的漏洞如下：

• CVE-2021-42013：Apache HTTP Server 2.4.49 和 2.4.50 中的路徑遍歷漏洞。
• CVE-2021-4034??(PwnKit)：Polkit 系統服務中的越界漏洞。
• CVE-2020-0601：Windows CryptoAPI 中的欺騙漏洞。
• CVE-2016-3309：Windows 內核中的權限提升問題。
• CVE-2022-21999：Windows Print Spooler 中的特權提升漏洞。

將這些缺陷引入企業網絡可能會為已經在網絡中站穩腳跟的威脅行為者提供額外的利用途徑，從而增加整體安全風險。?

然而，更重要的是，威脅行為者創建虛假的概念驗證漏洞或在設備上安裝惡意軟件的安全工具并不罕見。

例如，5 月份，威脅行為者分發了虛假的 Windows 概念驗證漏洞
?，利用 Cobalt Strike 后門感染設備。

在另一次攻擊中，Rapid7 發現威脅行為者正在分發虛假 PoC，用于安裝 Windows 和 Linux 惡意軟件的零日攻擊
?。

在這兩種情況下，在工作站上安裝虛假漏洞將允許初始訪問公司網絡，這可能導致網絡間諜、數據盜竊或勒索軟件攻擊。