® 
Privilege Escalation (Rechtenescalatie)
Definitie
Privilege escalation is een aanvalstechniek waarbij een aanvaller zijn toegangsrechten verhoogt van beperkte rechten naar beheerdersrechten (root/admin). Het is een veelgebruikte stap nadat initieel toegang is verkregen.
Privilege escalation (rechtenescalatie) is een aanvalstechniek waarbij een aanvaller zijn toegangsrechten verhoogt van beperkte rechten naar beheerdersrechten (root/admin). Het is een cruciale stap in vrijwel elke geavanceerde cyberaanval en maakt het verschil tussen beperkte toegang en volledige systeemcontrole. Volgens MITRE ATT&CK is privilege escalation een van de 14 kerntactieken die aanvallers gebruiken.
Hoe werkt privilege escalation?
Na initiele toegang met beperkte rechten probeert de aanvaller hogere rechten te verkrijgen om meer schade aan te richten of dieper in het netwerk te komen. Dit gebeurt door kwetsbaarheden in het besturingssysteem of applicaties te exploiteren, verkeerd geconfigureerde rechten te misbruiken, credentials van hogere accounts te stelen of vertrouwensrelaties tussen systemen uit te buiten.
Soorten privilege escalation
Verticale escalatie verhoogt rechten van een gewone gebruiker naar beheerder of root. Horizontale escalatie geeft toegang tot accounts van andere gebruikers met gelijke rechten maar andere data. Technieken omvatten: exploitatie van kwetsbaarheden in de kernel of SUID-binaries (Linux), misbruik van verkeerd geconfigureerde sudo-rechten, DLL hijacking en service path manipulation (Windows), credential dumping met tools als Mimikatz, token manipulation en impersonation, misbruik van misconfiguraties in Active Directory.
Impact voor organisaties
Privilege escalation stelt aanvallers in staat volledige controle over systemen te verkrijgen, beveiligingsmechanismen te omzeilen, data te exfiltreren en ransomware te deployen. Een succesvolle escalatie naar domeinbeheerder geeft de aanvaller controle over het gehele Active Directory en daarmee over alle systemen en data in de organisatie. NIS2 vereist adequate toegangscontrole en het principe van least privilege.
Bescherming
Pas het least privilege-principe strikt toe. Implementeer PAM voor alle beheerdersaccounts. Houd besturingssystemen en applicaties up-to-date om exploiteerbare kwetsbaarheden te elimineren. Monitor rechtenwijzigingen via SIEM en EDR. Voer regelmatige audits uit op beheerdersrechten en groepslidmaatschappen. Beperk het gebruik van tools als PowerShell via application whitelisting.
Hoe DEFION helpt
DEFION test privilege escalation als kernonderdeel van internal pentests en red teaming-opdrachten. Het team probeert vanuit beperkte toegang beheerdersrechten te verkrijgen, waarmee de effectiviteit van toegangscontroles wordt gevalideerd.