Trusted Design
Adversaries may circumvent mechanisms designed to control privilege elevation to gain higher-level permissions. Most modern systems contain native elevation control mechanisms that are intended to limit privileges that a user can perform on a machine. Authorization has to be granted to specific users in order to perform tasks that can be considered of higher risk.(Citation: TechNet How UAC Works)(Citation: sudo man page 2018) An adversary can perform several methods to take advantage of built-in control mechanisms in order to escalate privileges on a system.(Citation: OSX Keydnap malware)(Citation: Fortinet Fareit)
T1548(Abuse Elevation Control Mechanism)は、権限昇格(Privilege Escalation)や防御回避(Defense Evasion)を目的に使われます。
T1548は、OSに備わっている「権限昇格の仕組み(Elevation Control Mechanism)」を悪用して、通常ユーザー権限から管理者権限へ不正に昇格する手法です。
攻撃者はこれにより:
T1548は「OSの正規機能を悪用」するため、 * マルウェアがなくても成立するケースがある * 検知が難しい(正規動作に見える)
T1548に強く関連するCWEは以下の通りです。権限管理・アクセス制御の不備が中心です。
CWE-269 → 権限管理の不備(最も直接的)
CWE-250 → 不要に高い権限で実行される問題
CWE-284 → アクセス制御の欠陥(広範囲)
実際の攻撃では以下のようなCVEが使われます。主にOSやツールの具体的な昇格バグを悪用します。
CVE-2019-1388 → Windowsの証明書ダイアログを悪用して権限昇格
CVE-2017-0213 → COMインターフェースを使った昇格
CVE-2021-3156 → ヒープオーバーフローでroot権限取得可能
CVE-2019-14287 → sudo設定のバイパス
CVE-2016-1247 → cronの権限管理ミス
CVE-2021-4034 → pkexecのバグによるroot昇格