一个描绘特权提升的图表。箭头代表一个rootkit 访问内核的路径。小门表示正常的特权提升,用户必须证实为管理员才能穿越它。 特权提升 (英語:Privilege escalation 操作系统 或应用软件 中的程序错误 、设计缺陷或配置疏忽来取得对应用程序或用户 来说受保护资源 的高级访问权限。其结果是,应用程序可以取得比应用程序开发者 或系统管理员 预期的更高的特权 授權 的动作。
大多数计算机系统的设计是面向着多个用户。特权
特权提升表示用户设法得到本不应该有的权限。这些权限可能用于删除文件、查看私人信息或者安装非法程序(如计算机病毒 或恶意软件 )等,也可能用来解除制造商或管理员的某些特殊限制。它的发生通常是因为系统存在一个允许绕过安全措施的程序错误 ,或者利用了设计上的缺陷。特权提升有两种形式:
垂直特权提升 ,是通常所指的特权提升(privilege elevation),其中较低特权的用户或应用程序将能访问为较高特权用户或应用程序保留的功能或内容(例如,网上银行 用户访问到网站管理功能,或者绕过密码认证措施)水平特权提升 ,指普通用户访问到本应不能访问的为其他普通用户保留的功能或内容(例如网上银行用户A访问了用户B的网上银行账户)
x86 在保護模式 下的特权环当用户或进程 取得比管理员或系统开发者预期的更高访问级别时,这种特权提升则已发生,这可能以执行内核级 操作表现。
在某些范例中,高特权应用程序假定它只是提供与接口规范匹配的输入,并且不会验证输入。然后,攻击者可以利用这一假设,使未经授权的代码以应用程序的特权运行:
有些Windows服务 是配置为在Local System用户帐户下运行。诸如缓冲区溢出 等隐患可能被用来执行特权提升,从而在本地系统级别执行任意代码。除此之外,如果模拟用户时的错误处理不正确(例如,用户引入一个恶意的错误处理程序 ),采用较低用户特权的系统服务也可能被提升用户特权。
在部分旧版Microsoft Windows 操作系统中,All Users的屏幕保护程序 在Local System帐户下运行——任何帐户都可以替换文件系统 中或注册表 中的当前屏幕保护程序的執行檔 ,从而提升特权。
在特定版本的Linux内核 中,可以编写一个将当前目录设置为/etc/cron.d的程序,然后设法使当前应用被另一个进程kill 并产生一个核心转储 。核心转储文件被放置到程序的当前目录,即/etc/cron.d,然后cron root 特权执行任意程序。
跨区域脚本 网页浏览器 的安全模型,从而可以在客户端 的计算机上运行恶意代码。还有一种情况是,应用程序可能使用其他高特权服务,并对客户端操控这些服务的用法有着不正确的假设。如果应用程序使用未经检查的输入作为执行的一部分,则它可能出现代碼注入 问题,从而执行用户提供的命令行 或shell 命令。攻击者因而可以使用应用程序的权限运行系统命令。
德州仪器 计算器(特别是TI-85 和TI-82 )最初被设计为仅解释以TI-BASIC 的方言编写的程序。但是,在用户发现可利用漏洞允许在计算器硬件上执行Z-80 代码后,TI发布了编程数据以支持第三方开发。(此做法并未延伸到基于ARM架構 的TI-Nspire Ndless 部分iPhone 版本允许未授权的用户在已锁定时访问手机。[ 1]
越狱 (jailbreak )是用于在类UNIX 操作系统中击破chroot 或jail [ 2] 数字版权管理 (DRM)的行为或工具。在前一种情况下,它允许用户查看管理员计划给应用程序或用户使用的文件系统 部分之外的文件。在DRM情况下,这将允许用户在具有DRM的设备上运行任意代码,以及突破类似chroot的限制。该术语起源于iPhone /iOS 越狱社区,并也被用于PlayStation Portable 破解的术语。这些设备已一再遭到越狱从而为执行任意代码,供应商的更新则在封堵这些越狱途径。
iOS 系统(包括iPhone 、iPad 和iPod touch )自发布以来都受到过越獄 的尝试,并在随着每个固件更新而修正与跟进。[ 3] [ 4] Cydia ——一个第三方的App Store ,作为查找和安装系统修改器和二进制文件的一种方式。为防止iOS越狱,苹果公司已对设备的啟動程式 采用SHSH blob
一种类似的越狱方法也存在于S60平台 的智能手机,它涉及到在内存[ 5] [ 6] PlayStation Portable 的M33破解固件)中给已加载的特定ROM文件安装softmod [ 7] 未签名代码 的限制。诺基亚 发布了更新以遏制未经授权的越狱,方式与苹果公司类似。
在游戏主机上,越狱经常用于执行自制游戏 索尼 在Kilpatrick Stockton 律师事务所 的协助下起诉了21岁的乔治·霍兹 以及为PlayStation 3 越狱的fail0verflow小组的成员(见Sony Computer Entertainment America v. George Hotz 和PlayStation越狱
操作系统和用户可以使用以下策略降低特权提升的风险:
当应用程序允许攻击者访问通常受到应用程序或用户保护的资源时,则发生了水平特权提升。其结果是,应用程序执行的操作与之相同,但使用或得到了与应用程序开发者 或系统管理员 预期不同的安全上下文;这是一种有限程度的特权提升(具体来说,未经授权地模仿了其他用户)。
这个问题经常发生在网络应用程序 中。考虑下列例子:
用户A可以在网上银行应用中访问自己的银行账户。
用户B可以在同一个网上银行应用中访问自己的银行账户。
当用户A通过某种恶意行为能访问用户B的银行账户时,则发生了此问题。 由于常见的Web应用程序弱点或漏洞,这种恶意活动经常出现。
可能导致此问题的潜在Web应用程序漏洞或情况包括:
^ Taimur Asad. Apple Acknowledges iOS 4.1 Security Flaw. Will Fix it in November with iOS 4.2 . RedmondPie. October 27, 2010 [2017-03-29 ] . (原始内容存档 于2013-04-17). ^ Peikar, Cyrus. Security Warrior . O'Reilly Media . 2004-01-12: 304 [2014-08-19 ] . ISBN 9780596552398存档 于2016-12-02). ^ James Quintana Pearce, Apple's Disagreement With Orange, IPhone Hackers , paidContent.org, 2007-09-27 [2011-11-25 ] , (原始内容 存档于2012年7月29日) ^ Reports: Next iPhone update will break third-party apps, bust unlocks (页面存档备份 ,存于互联网档案馆 ) ComputerWorld ^ Phat^Trance. Announcement: Forum down for maintaining . Feb 16, 2010 [August 30, 2016] . (原始内容 存档于2009年3月3日). Just wanted to let you guys know that the forum is down for maintaining. It will be back online in a day or so (i kinda messed up the config files and need to restore one day old backup, so i thought why not update the entire server platform) ^ HelloOX 1.03: one step hack for Symbian S60 3rd ed. phones, and for Nokia 5800 XpressMusic too . [2017-03-29 ] . (原始内容存档 于2020-08-07). ^ Bypass Symbian Signed & Install UnSigned SISX/J2ME Midlets on Nokia S60 v3 with Full System Permissions . [2017-03-29 ] . (原始内容 存档于2016-09-11). ^ Microsoft Minimizes Threat of Buffer Overruns, Builds Trustworthy Applications . Microsoft . September 2005 [2008-08-04 ] . ^ Smalley, Stephen. Laying a Secure Foundation for Mobile Devices (PDF) . [7 March 2014] . (原始内容存档 (PDF) 于2017-08-28).
