Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Local privilege escalation

Aanvallen

Zichzelf meer rechten geven op een digitaal systeem. Men doet dat via een hack of een bug in het systeem.

Local privilege escalation is een aanvalstechniek waarbij iemand die al toegang heeft tot een systeem met beperkte rechten, die rechten weet te verhogen naar een hoger niveau, typisch administrator- of root-toegang. Het is een van de meest voorkomende stappen in een cyberaanval nadat initiële toegang is verkregen. Een aanvaller die via phishing of een webkwetsbaarheid binnenkomt, landt doorgaans met de rechten van een gewone gebruiker. Om echt schade aan te richten, malware te installeren of lateraal door het netwerk te bewegen, zijn verhoogde rechten nodig. Local privilege escalation is de brug tussen die initiële toegang en volledige systeemcontrole. Het MITRE ATT&CK-framework classificeert privilege escalation als een van de 14 primaire tactieken die aanvallers inzetten.

Hoe werkt local privilege escalation?

Aanvallers gebruiken diverse technieken om hun rechten te verhogen, afhankelijk van het besturingssysteem en de configuratie van het doelsysteem. Op Windows-systemen zijn veelgebruikte technieken UAC bypass (het omzeilen van User Account Control), DLL hijacking (het plaatsen van een kwaadaardig DLL-bestand in een zoekpad), token manipulation (het stelen of aanpassen van beveiligingstokens) en het misbruiken van verkeerd geconfigureerde services die met verhoogde rechten draaien. De Sticky Keys-aanval, waarbij systeembestanden op het inlogscherm worden vervangen, is een klassiek voorbeeld dat fysieke toegang vereist.

Op Linux-systemen richten aanvallers zich vaak op SUID-binaries (bestanden die altijd met de rechten van de eigenaar draaien), misconfiguraties in sudo-regels, kwetsbaarheden in de kernel en onveilige cron jobs. Een klassiek voorbeeld is een script dat als root draait via cron en schrijfbaar is voor gewone gebruikers. De aanvaller past het script aan om een reverse shell met root-rechten te openen. Kernelexploits zijn bijzonder gevaarlijk omdat ze directe toegang geven tot het hart van het besturingssysteem.

Het proces begint typisch met enumeratie: de aanvaller verzamelt informatie over het systeem, geinstalleerde software, draaiende processen, bestandsrechten en netwerkconfiguratie. Tools zoals LinPEAS (Linux) en WinPEAS (Windows) automatiseren deze inventarisatie en markeren potentiële escalatiemogelijkheden. Vervolgens kiest de aanvaller de meest kansrijke route en voert de escalatie uit, vaak in enkele seconden. De lage drempel van deze tools maakt privilege escalation toegankelijk voor aanvallers met beperkte technische kennis.

Hoe herken je local privilege escalation?

Het detecteren van privilege escalation vereist geavanceerde monitoring van systeemactiviteit. Let op ongewone patronen zoals een standaard gebruikersaccount dat plotseling beheercommando's uitvoert, processen die draaien met verhoogde rechten vanuit onverwachte locaties, wijzigingen in systeembestanden of het register door niet-beheerdersaccounts, en het aanmaken van nieuwe accounts met beheerdersrechten. Elke afwijking van het normale gebruikspatroon is een potentieel signaal.

Op Windows biedt het Security Event Log waardevolle indicatoren. Event ID 4672 (Special privileges assigned to new logon) en Event ID 4648 (A logon was attempted using explicit credentials) zijn relevante signalen. SIEM-systemen kunnen deze events correleren en alerts genereren bij verdachte patronen. Op Linux zijn wijzigingen in /etc/sudoers, onverwachte SUID-bits op bestanden en verdachte entries in /var/log/auth.log indicatoren die je actief moet monitoren.

Endpoint Detection and Response (EDR)-oplossingen zijn het meest effectief in het detecteren van privilege escalation. Ze monitoren procesgedrag, systeemaanroepen en bestandswijzigingen in real-time en vergelijken deze met bekende escalatietechnieken uit frameworks zoals MITRE ATT&CK. Gedragsgebaseerde detectie vangt ook onbekende escalatietechnieken op die nog niet zijn gedocumenteerd. De combinatie van EDR, SIEM en proactieve threat hunting biedt een geschikte bescherming tegen geavanceerde escalatietechnieken die signature-gebaseerde detectie omzeilen.

Hoe bescherm je je tegen local privilege escalation?

De meest effectieve verdediging is het verkleinen van het aanvalsoppervlak. Pas het least privilege-principe strikt toe: geef gebruikers en processen alleen de minimale rechten die nodig zijn voor hun functie. Verwijder onnodige admin-rechten van werkstations. In veel organisaties hebben eindgebruikers standaard lokale beheerdersrechten, wat privilege escalation triviaal maakt. Privileged Access Management (PAM)-oplossingen helpen bij het beheren en controleren van beheerderstoegang.

Houd besturingssystemen en software up-to-date. Kernelkwetsbaarheden zijn een veelgebruikte escalatieweg en worden regelmatig gepatcht. Implementeer een patch management-proces dat kritieke updates binnen dagen uitrolt, niet weken. Scan regelmatig op misconfiguraties zoals te ruime sudo-regels, schrijfbare systeemscripts en onnodige SUID-binaries. Geautomatiseerde hardening-tools kunnen deze controles structureel uitvoeren.

Implementeer application whitelisting om te voorkomen dat aanvallers eigen tools draaien op gecompromitteerde systemen. Combineer dit met Credential Guard op Windows om het stelen van wachtwoord-hashes te voorkomen. Multi-factor authenticatie voor beheerderstoegang voorkomt dat gestolen credentials direct leiden tot verhoogde toegang. Regelmatige penetratietesten valideren of je verdedigingsmaatregelen effectief zijn tegen actuele escalatietechnieken. Red team-oefeningen simuleren realistische aanvalsscenario's waarin privilege escalation een standaard stap is.

Privilege escalation in de aanvalsketen

Privilege escalation is zelden een op zichzelf staande aanval. Het is een fase in een grotere aanvalsketen die het MITRE ATT&CK-framework beschrijft. Na initiële toegang (Initial Access) en uitvoering (Execution) is privilege escalation vaak de derde stap. Met verhoogde rechten kan de aanvaller vervolgens overgaan tot persistence (het behouden van toegang), defense evasion (het omzeilen van detectie), credential access (het stelen van verdere inloggegevens) en lateral movement (het verplaatsen naar andere systemen in het netwerk).

Het begrijpen van deze keten is essentieel voor effectieve verdediging. Door privilege escalation te voorkomen of te detecteren, breek je de aanvalsketen op een cruciaal punt. Een aanvaller die vastzit met beperkte rechten kan aanzienlijk minder schade aanrichten dan een aanvaller met administrator-toegang. Dit concept van defense in depth, waarbij je meerdere verdedigingslagen implementeert, is bijzonder effectief tegen privilege escalation. Combineer preventieve maatregelen (hardening, least privilege) met detectieve maatregelen (EDR, SIEM, threat hunting) en responsieve maatregelen (geautomatiseerde isolatie, incident response playbooks) voor een complete verdedigingsstrategie die privilege escalation op elk punt in de keten kan onderscheppen.

Veelgestelde vragen over local privilege escalation

Wat is het verschil tussen lokale en verticale privilege escalation?

Lokale privilege escalation is een vorm van verticale escalation: je verhoogt je rechten op hetzelfde systeem van een lager naar een hoger niveau. Horizontale escalation betekent dat je toegang krijgt tot een ander account met hetzelfde rechtenniveau. Verticale escalation is doorgaans gevaarlijker omdat het administrator- of root-rechten oplevert.

Hoe snel kan privilege escalation plaatsvinden?

Bij een bekende kwetsbaarheid of misconfiguratie kan privilege escalation in seconden plaatsvinden. Geautomatiseerde tools zoals LinPEAS scannen een systeem in minder dan een minuut op escalatiemogelijkheden. Dit benadrukt het belang van preventieve hardening boven detectie alleen.

Is privilege escalation altijd kwaadaardig?

Nee. Penetratietesters en red teams gebruiken privilege escalation-technieken om de beveiliging van systemen te toetsen. Het verschil zit in de intentie en toestemming. Ethische testers werken binnen een afgesproken scope en rapporteren hun bevindingen aan de opdrachtgever.

Welke rol speelt MITRE ATT&CK bij privilege escalation?

MITRE ATT&CK documenteert privilege escalation als een van de 14 tactieken in het framework. Het bevat tientallen specifieke technieken met detectierichtlijnen en mitigatiemaatregelen. Security-teams gebruiken dit als referentie voor hun detectieregels en hardeningrichtlijnen.

Kan EDR privilege escalation voorkomen?

Moderne EDR-oplossingen kunnen bekende escalatietechnieken blokkeren in real-time en onbekende patronen detecteren via gedragsanalyse. Ze zijn echter geen garantie: geavanceerde aanvallers gebruiken living-off-the-land technieken die legitieme systeemtools misbruiken en moeilijk van normaal beheer te onderscheiden zijn.

Bescherm je organisatie tegen aanvallen. Vind de juiste aanbieder via Pentesting op IBgidsNL.