تصعيد ورفع الصلاحيات (Privilege Escalation): من وصول مستخدم مقيَّد إلى السيطرة الشاملة والمطلقة على الكيانات

في الغالبية الساحقة والمدمرة من الهجمات السيبرانية الحقيقية حول العالم والموثقة بالدارك ويب، فإن "الثغرة الأولى" أو رسالة التحايل الأولى لا تمنح للمخترق "الوصول اللانهائي المباشر" أو السيطرة الإدارية على الجهاز فوراً. بل على العكس؛ يهبط المخترق المهاجم على نظام الضحية كـ"ضيف" مسكين ذو وصول وصلاحيات متدنية للغاية؛ غالباً كموظف بسيط قياسي مسحوب القوة، أو كحساب خدمة ويب غير هادف (www-data).

في هذه المرحلة الجنينية الأولية من الاختراق، يكون المهاجم مشلولاً وضعيفاً تقريباً. فلا يمكن مطلقاً للمستخدمين ذوي الصلاحيات القياسية تغيير وإسقاط تكوينات جدران الحماية للشبكات، ولا يمكنهم دس فيروس وبرمجيات الفدية (Ransomware) بالملفات التشغيلية، ولا يمكنهم اختلاس ونسخ ملفات الذاكرة المشفرة العميقة المحفوظ بها كلمات مرر مدراء وإداريي النظام المحليين (Hashes).

لكي يتمكن المهاجم المأجور من قلب هذه المعادلة الفاشلة وتحويل أثر قدم ضئيل وتافه لعملية اختراق مدمرة وواسعة النطاق للمؤسسات التجارية، لا بد من القيام بما يُسمى "المناورة التكتيكية الأكثر دموية للشركة بأكملها": تصعيد وتعظيم الصلاحيات (Privilege Escalation).

يشرح فريق قسم المحاكاة الهجومية من (Cayvora Security) بعمق هندسي؛ الآليات والتكتيكات التشريحية القذرة لكيفية اكتساب المخترقين تلك القدرة واستغلال وتطويع أخطاء أنظمة التشغيل ليتحول الضحية الكامن من "مجرد مستخدم ضيف مقيد" إلى "خالق مُتحكم يحكم النطاق بالكامل".

آليات التلاعب والتصعيد: المسار العمودي والمسار الأفقي

يتم تصنيف تقسيم "الهجمات الرامية لرفع الصلاحيات" في المجال إلى فئتين وعمودين رئيسيين بناءً على سلوك و مسار هجوم القراصنة.

1. رفع الصلاحيات ذات النمط العامودي (Vertical)

إنها الأيقونة والمصطلح الكلاسيكي لعملية الصعود الهرمي "قفزة نحو درجات الإدارة العُليا". حيث يطمح بشدة المهاجم للانتقال أرقام درجاته من "حالة خالية من التمكين وصلاحيات" إلى "حالة التحكم الديكتاتوري المطلق والسلطوي للنظام" (على سبيل المثال، التحول الكافي من حساب ونافذة مستخدم عادي جداً Standard إلى ملف النظام الاستراتيجي الخاص بالويندوز من فئة كبار القيادات NT AUTHORITY\\SYSTEM). تحقيق إنجاز التصعيد هذا سوف يسمح ويخول النظام فورياً للمهاجم حرية مطلقة وفتاكة؛ بتنفيذ وتصريح أي أمر برمجي كمدير دون أي قيود، وبإغلاق وتقطيع كابل أدوات برامج الحماية (EDR أو برامج كاسبرسكي للشركات وغيرها) بشكل أساسي وسهل كما لو كان يعطل خدمة عابرة، وحصاد واقتلاع بيانات تسجيل المدراء والموظفين المخزنة عميقاً بمناطق الذواكر المحمية والمحصنة كالـ (Lsass).

2. رفع الصلاحيات ذات النمط الأفقي (Horizontal)

في هذا المسار أو الغزو "الأفقي والموازي"؛ لن يعظم الهاكر أو يخترق للحصول على مستويات عليا أو يطمح بالحصول على قدرات وحقوق مديري النظم بالضرورة؛ ولكنه يستهدف "زملائه بالنطاق"، ويقوم السارق بخطف والسطو وتوظيف حساب مستخدم أو مستهدف في نطاق شبكته يتساوى ويمتلك فعلياً درجة صلاحيات مطابقة (عادي)، لغرض الاطلاع على بيانات ورسائل غير مأذون بوصولها بين تلك الأشخاص من الأساس!. مثال توضيحي مباشر: داخل واجهة تطبيق البنوك ومواقع المحاسبات، يسجل المتسلل الدخول بشكل قانوني باسم مستخدم (أحمد "العميل أ")، ومن دون أن يطور أو يعظم منصبه.. يقوم باستخدام ذكاء فني ليعدل ويخدع المعامل الرقمي والمسار المرفق بعنوان الطلب لرابط صفحة البنك في المتصفح الخارجي (على سبيل المثال يقفل URL المرقم بـ user_id=102 و يستبدله بـ user_id=115) فتدخله الشركة لرؤية بيانات وصناديق وكشوفات البنك المالية الخاصة بالضحية (سلطان "العميل ب") بدون مصادقاته. يتم تسمية وقذف هذه الظاهرة التكتيكية باختصاص الاختراقات بـ"المراجع والأشياء المباشرة وغير المأمونة (IDOR)".

كيف يكسر المهاجمون قيود الخوادم بأسلوب النطاق العمودي: التطبيق التقني والأخطاء الواقعية

المهاجمون الأشرار في الشبكة لا يملكون مفتاح سر منقوش أو زر أحمر سحري يكتبون عليه (اضغط لتتوج مديراً). يعتمدون ويعتاشون بقوة مطلقة على الوجود والحماقات البشرية التكوينية (المليئة بالجهل وسوء التقييم) للأجهزة، وخطط وفرق البرمجة المكسورة وبترقيع متخلف وغير ناضج، وعيوب متأصلة في أسس وقاعدة أنظمة التحكم لنظم التشغيل الويندوز واللينكس.

التكتيك الجحيمي 1: كوارث وأخطاء البرامج والتطبيقات الخدمية والمسارات المخترقة (نظم الويندوز Windows Services)

بشكل غامض ويومي في الحواسيب، تشتغل الخدمات التابعة والصامتة (Background) وتعمل و تنفذ بهدوء باستمرار وتلقائية حية بشكل كثيف وبدون شعور منك في خلفية حاسوبك، وغالباً وأساساً يتم تشغيل كل واحدة بنطاق وثوب القوة لكيان و حساب الـ (SYSTEM) العظيم المطلق للنظام الداخلي. ومع ذلك ورغم الحماية.. لابد لهذه الجانحة من الخدمات أن تخضع بالتفاعل مع قواعد مجلدات وحفظ أدلتها في سطح القرص الصلب المفتوح للكمبيوتر (Local Hard-Drive).

المصيبة حينما يتم برمجة وإرساء إحدى شركات التقنية و فريق تقنية المعلومات بوضع وتشفير (تطبيق مخصص للنُسخ اليومية الاحتياطية للكمبيوترات) ليضع نفسه تلقائيا في قلب المجلد والمسار التالي C:\BackupApp\ServiceFile.exe ... إلا أن المبرمج والمطور يرتكبون غباء فني وسهواً يعطي لجميع للمستخدم الضيوف أو الموظفين البسطاء في هذا الدليل (سلطة حق القراءة والكتابة Writing وحقه بالحذف في هذا المجلد فقط بالويندوز!). وهنا يحدث الكابوس. يصبح ارتكاب الاختراق و"التصعيد" لعب الأطفال للمتسلل الماكر. كل ما يحتاجه هذا الهاكر الداخلي هو حذف وطمس الملف الرسمي والحمل الخاطئ (ServiceFile.exe).. ويقوم بلصق فيرس تشفيري متطور أو ملف (Payload) خاص به بمجلد التكوين.. و يسميه حرفياً واختلاساً بنفس الكلمة والتسمية الأصلية الخادعة بالضبط... ويقوم بإعادة تعيين أو رصد وإقلاع تشغيل جهاز الخادم كلياً من جديد. وعندما يُفتح الجهاز ويندوز للإقلاع المتبجح.. سيبحث ويزحف ويندوز كعادته اليومية لقص وقراءة كل الملفات الخدمية الرئيسية من السطر C.. سيقرأ التطبيق المزيف المخترق بشكل أصلي باعتباره شرعياً؛ وسيتم منحه آلياً ومنح هجوم وبرامج الهاكرز القوة الوجودية القصوى ببدلة ومعطف حساب (SYSTEM)!!! لقد سقطوا للهاوية وبدون دفاعات.

التكتيك الثاقب 2: إساءة وتخبط تفويض وإسناد صلاحيات اللينكس وتوزيعات ملفات الرووت

في عالم وبيئة خوادم نظام لینكس (Linux Servers)، غالباً ما يكون لدى المطورين أو المشرفين العاديين، الحقوق والقدرات لاستدعاء ومصرح باستخدام كلمات سحرية للأوامر الخارقة للعادة تُدعى (sudo).. لغرض محدد وهو لتسخير النظام لمساعدتهم بتنفيذ وصياغة وتشغيل (مهام استثنائية جداً ووظيفة معينة لا غير) باستخدام القوة والتجلي الرهيب لمدير وروح النظام العظمى (root) ودون الحاجة المذلة والمطلوبة لمعرفتهم بكلمات سر Root الافتراضية الأسطورية والمخفية (على سبيل المثال السماح لهم بشيء بسيط وهو عمل "تحديث وإقلاع أو استئناف و Restart وإطفاء لخادم الويب الأباتشي Apache Web").

ولكن.. كالعادة.. وفي سيناريوهات حية، يقوم مهندسو الحماية ومسؤولي أمن الشبكة الكسولين بالتكوين الفوضوي السريع في تحديد التفويض، فيعبث ويدمر إعداد وتحيد خطوط حماية وقوائم التقييد والمصادقة لملف حماية الصلاحيات /etc/sudoers لييسمح ويصرح للمطور البسيط (والمستخدمين العاديين والمبرمج) بتشغيل وإثارة تطبيق كلاسيكي جداً كبرنامج تعديل السطور والكلمات وتحرير وبرمجة النصوص الحية (vim) أو حتى كود البحث (awk) كمُدير فذ Root.

# عندما يتمكن الشرير (كموظف عادي بسيط ومندس) من قراءة ماذا يقدر وينصلاح له كمدير
$ sudo -l
# يرد عليه النظام بأن المستخدم المكتبي بوب يستطيع تنفيذ وتصديق وفتح برنامج محرر الكلمات فقط وتمرير ملف Root من خلاله: User bob may run the following command
    (root) /usr/bin/vim

# تأتي شرارة عملية التنفيذ والتصعيد الفولاذي: يطلب المهاجم البسيط (بوب) فتح وإضاءة محرر "Vim" متهرباً باسم صلاحياته ويفعل السحر الحقيقي من سطر واحد وينصع (ترقية موجه أوامر متصل بالنظام الكلي وبداخله وبسلطة الـ Terminal)! بدلاً من تغيير جملة!
$ sudo vim -c '!bash'

# الصاعقة الحاسمة: يدخل الهاكر ويتساقط المهاجم فورا وفي ثانية كالمطر في عمق "نافذة وقشرة لوحدة الـ Root الكاملة الشاملة"، ليحقق التحكم المطلق والتدمير العميم.
root@linux-server:~# whoami
root

إن مجرد خطأ تكتيكي بسيط وساذج وبصلاحية فنية لتعديل تطبيق نصوص بسيط... أدت إلى اختطاف وتنازل وفضح الممالك الكلية لخادم الشركة وانفلات نظام التخصيص.

التكتيك الجذري 3: ضرب وقنص وتجاوز النواة المركزية للآلة والذاكرة (استغلالات عيوب الكيرنل - Kernel Exploits)

عندما تبوء جميع عمليات فحص وحيل التلاعب بالتكوينات الجانبية والخاطئة والمخادعة بالفشل والصد الصارم؛ وعندما يصادف المهاجم و القراصنة سيرفر من طراز ونخبة مصمم على أساس (Hardened System) جدار قاسي؛ لا يبقى للقراصنة المهاجمين سوى قلب المعادلة والذهاب إلى القلب وعنق النظام، الذهب والألماس المحروس والمشفر: النواة العقلية الملموسة للتشغيل الأساسي (The Kernel). من خلال ضخ وتشغيل ثغرة أو تسخير فيروسات مروعة (هجمات تجاوز سعة الذاكرة واكتناز أخطاء فائضة طافحة) والاعتماد الفظيع على الفساد الرقمي وإتلاف مساحات و أعطال ذاكرية بكر و ثغرات عميقة خفية داخل نواة النظام الرئيسية للكمبيوتر (مثل ما حدث مع التدمير الملحمي العالمي لفجوة DirtyCow المتوحشة في قلعة وأكواد نظام اللينكس، وأزمة ثغرة مايكروسوفت الهستيرية في أجهزة الطابعات الخاصة بويندوز والتي صرخت بـ PrintNightmare)؛ لا تتوقف ولا تسأل هذه الثغرات عن نوع المستخدمين ومناصبهم، فهذه الأعطال تقوم بإرغام و إجبار ذاكرة الماكينة وحاسب السيرفر المحصن والمحصن جيدا بالقصد والحيلة، للتحطم وإطلاق وتنفيذ أي أوامر أو أسطر برمجية يطلبها الهاكر وتُنفذ فورياً مباشرة وفي ظرف ومحض ثوان بأقصى ومقامات و أعتى الحقوق والصلاحيات الفائقة السُمعة والتي يعترف بها الكمبيوتر!.

وضعية وحواجز الاستراتيجيات الدفاعية: تطويق الخطر المستنقع وعزل الافتراض المؤكد (Breach Assumption)

لا تتعب نفسك. لأن سقوط وعملية الاختراق المبكر والأولي (كمثل قيام أحدهم ومستخدم أو ضيف قياسي في مكتب فرعي للشركات في مكان ما بالنقر على واجهة وبرنامج رابط خطير ببريده وسقوط أمنه) هو أمر قد حدث كحتمية ولغة الإحصائيات الرياضية ومؤكد بشكل مريع لا يكلب. ولأن هذا سيحدث حتمياً لا فرار منه؛ يجب على كبار حراس الدفاع في الفرق الأمنية والمراقبين الاستسلام لتبني وافتراض والتعامل مع وضعهم المعماري واليومي ببيئة المؤسسات على وجه وقاعدة مفادها أن الكوخ وقاعدة (اُسوار المحيط الخارجي) للمنظمة قد تحطمت وفشلت وهوت منذ زمن بعيد وتواجد الهاكر بأحد الأجهزة المعلقة. هنا وهدفك ومهمتك الصارمة الاستراتيجية تتركز للدرع الثاني: سحق عملية وإمكانية (الإعلاء والتصعيد العمودي Privilege) وإطفائها وصعوبتها لأقاصي درجة للمهاجم المختبئ ليجعل التحرك مستحيلا.

1. إطلاق وتبني ثقافة ومطرقة التجريد وتطبيق مبدأ "أدنى وأضعف الامتيازات" بكل صرامة وجبروت (Least Privilege)

يجب ومن الممنوعات المطلقة وبلا رحمة على الإطلاق ألا ينشط للمستخدمون النهائيون، ومديرو الشؤون الوظيفية ولأفراد الشركة للقيام بالعمليات والتشغيل وإدارة الحواسيب، باستخدام ميزات وأذرع السلطة و"صلاحيات وسجاد حقوق مدير مسؤول كامل" على واجهة أجهزتهم وحواسيبهم والمحطات المكتبية الشخصية خلال ساعات الدوام اليومي والروتيني كليا. لماذا؟ إذا تعرض المدير التنفيذي وتخبط وسقط كضحية وقام بفتح وتشغيل فيروس للفدية وتشفير قوي (Ransomware) بالبريد أثناء وتسجيل دخوله بصفة وحساب وبطاقة (مستخدم قياسي عادي وضيف Standard) فقط، فلن تجني عصابات الكود والتشفير من برنامج الفدية أي قيد وسلطات من حقها تشفير ملفات وبرامجات و أربطة النظام والشبكات (System Files) الأساسي؛ لأن بروتوكولات ونوافذ المحافظات الأمنية وجوهر حماية نظام التشغيل سيمنعها باستشراس ويصادرها استباقياً بصيغة القفل الديموقراطي و يعرقلها بأمر الرقيب الدفاعي للمستخدمين بواسطة أنظمة وتقنيات حوكمة الحساب (User Account Control أو UAC) المشهورة.

2. التحديث والهجوم والقضاء الدائم لحل الثغرات التكتيكية (Hardening & Kernel Patching)

تتسبب وتسفر و تمضي المشكلات، وثغرات وفجوات النواة (Kernel CVE) المعرضة للخطر وتتفاقم على الفور وتتحول وتمثل فشلاً ذريعاً وفناءً لكامل المنظومة كقنبلة ذرية إلكترونية. لابد وفرض وإلزام للشركات ومجلس الأبحاث بتوظيف و اعتماد التبني الكامل لأشد و أعنف سياسات التحدي وتطبيق (إدارة نقاط الثغرات التطورية والترقيع والباتشينج Patching) بشكل أعمى وبكل طوارئ لحقن الأجهزة، وترميم أنظمة وجذور السيرفرات والتطبيقات المحلية الطرفية ونظم التشفير المركزية بشكل مباشر وسريع وفوري دون رحمة لتأخير ساعات، خصوصاً و بشكل أشد تركيزاً نحو كل الثغرات وتنبيهات الأخطاء والتي تُصنف كدرجة حارقة والتي تختص وتسلط الضوء الفني حول تسريب واستغلال وتقنية ومداخل أخطاء وعقيدة (نوافذ تصعيد و وراثة الصلاحيات للويندوز العالية الخطورة CVEs).

3. عمليات التفتيش والاصطياد والمراقبة والاستشعار اللصيق للعمليات الأمنية الرفيعة والمتخفية بذكاء

صُد و اقبض عليهم! تأكد وبشدة من أن مركز العمليات الأمنية في حصنك المنيع (مركز SOC وفرق الكشافات للمحللين) و كاشفات منصات و أليات المراقبة للشبكة المتطورة والسريعة كالرادار لجمع وتحليل وحل الأحداث (SIEM) تعمل طيلة النهار وتقوم باستشعار، وصيد، وتمييز السلوكيات الدنيئة ومراقبة الأنماط وسجلات الأحداث الفعالة للمسارات ونطاق حواسيب الموارد النشط العظيم (Active Directory)، للبحث وتعقب الرسوم والأعمال المريبة الشاذة والمسترابة غير النظيفة، مثل رصدك لحالة أن مستخدم مكتب وحاسوب ومبرمج قياسي وبسيط في الأقسام، يقوم من شاشاته وبنفسه بتوليد عملية وتجربة غريبة لمحاولة الدخول والاستخلاص ومحاولة والتفاعل والاحتراق والتنقيب بمساحة الذاكرات الخبيئة لوحدة و مركز تحكم النطاقات المليئة والمنجم الأساسي للهاشات بـ (LSASS)، أو يُضبط وتراقبه الأنظمة وهو يقوم بإقحام أو تعديل والتلاعب بمجموعة مقيدة وخدمات أنظمة التشغيل والشبكات ويندوز المحلية للماكينات بشكل مواربات ومنافذ أطقم أسطر شفرات الباورشل السحري المعقد (PowerShell).

الخلاصة الحاسمة والأخيرة للتجربة

تخول ثغرات الدخول والاتصال والوصول والاختراق الأولى (للهاكرز الأعداء) مجرد الطرْق والحفر على أبواب ومنازل المداخل النحاسية الأمامية للشركة والوقوف بخط و بمسافات بسيطة بكرسي الاستقبال؛ ولكن ما ينتظره العدو بالفعل هو تقنية واستراتيجية (رفع و تسلق وتصعيد الصلاحيات التكتيكي الكامل)، حيث تمنح وتتوج وتسلمهم هذه العملية (الأقفال والمفاتيح الماسية السحرية والكاملة) لسحق ناطحة وصروح وثروة الشركة وملفاتها بأكملها كرماد. من خلال الاقتلاع والحذف والتجريد العنيف والمدبر والمتعمد بانتزاع وقطع جميع الحقوق والحقوق الإدارية لموظفي ونسب العمل المركزية والحلول المحلية للموظفين الدنيئين ببيئة العمل، وتدقيق سياسات الخدمة بدون رحمة ودراستها واختراق ومراجعة تكوينات ومراقبتها كوحش قارس ومسح وإماتة كافة الأعطال والباتشات وفجوات حفر و مصائب النواة وأحفاد الثغرات الكيرنال الخارقة، يمكن لشركاتك اصطياد و صيد وزج وقنص و خنق وحشر وفرمتت مهاجمي وفيروسات التشفير وإجبارهم ومحاصرتهم والبقاء في غرف وسجون وحلقات الفضاء ومناطق استخدام وباحات وأدوار الموظفين الجالسين الخالية القيمة والأهمية وحساباتهم المقيدة، مما يهدي ويكسب ويعطي ويزود فرق الصيانة المحللين المدافعين وفريق الرصد لشركتك العريقة (الفريق الأزرق - Blue Team الحصري لك) الساعات والمدد الذهبية الحرجة والفورية للتحكم وإطفاء الحريق وقص الأطراف والتفتيش بسلام والاستقصاء وركل واقتطاع و إقصاء وهزيمة المحاولة وعزل العوامل، ومسح جذور القنبلة و وأد والقضاء على شروش التهديد قبل واستباقاً حتى لوهلة بدء و استشراء وإشعاع الأضرار والدمار التجاري الكاسر للعمود الفقري والصندوق الحقيقي وأرقام أموال وحسابك البنكي الاقتصادي.