Documentos de Académico
Documentos de Profesional
Documentos de Cultura
por
Levy Aguilar
Asignacion 3- Ensayo
Introducción
Los sistemas informáticos tienen diversos niveles de privilegios, que van desde usuarios
estandarizados con permisos limitados hasta administradores con control total sobre el
sistema. Una incidencia exitosa de escalada de privilegios implica que el atacante logra
escalar su propio nivel de privilegio, ganando, por tanto, un mayor nivel de control.
(Proofpoint ES, 2024)
¿Qué es exactamente la Escalada de Privilegios?
Es una situación que ocurre cuando un usuario malicioso explota una vulnerabilidad. Esta
puede consistir en un bug o un fallo en el diseño de la aplicación. También puede tratarse
de cierto error de configuración de la aplicación o del sistema operativo en el cual está
operando el usuario. Básicamente, lo que sucede es que el usuario malicioso (el
cibercriminal) termina obteniendo acceso privilegiado a recursos que, de acuerdo con sus
permisos por defecto, no debería tenerlos. Dichos privilegios de acceso le darán la
posibilidad de robar datos confidenciales y/o de carácter sensible, ejecutar comandos con
permisos de administrador. O peor aún, puede arrojar malware o ransomware, lo cual
dañaría tu sistema operativo en gran medida. (Fernández, 2023).
En caso de una escalada horizontal de privilegios, un empleado de bajo nivel con acceso a
datos confidenciales puede usar ese acceso para obtener los mismos privilegios que un
empleado de nivel superior, como un gerente. Esto permite que el atacante realice acciones
con el mismo nivel de autoridad que el empleado comprometido. Almanza, R. (2023, 11 de
mayo)
Por otro lado, la escalada vertical de privilegios se refiere al proceso de obtener privilegios
más altos que los que tiene el usuario actualmente. Por ejemplo, un empleado de bajo nivel
puede explotar una vulnerabilidad en el sistema para obtener privilegios administrativos,
obteniendo así la capacidad de realizar acciones con un nivel de autoridad mucho mayor.
Almanza, R. (2023, 11 de mayo)
Ingeniería social: en esta técnica, un atacante engaña a un usuario para que revele sus
credenciales o realice acciones que otorgan al atacante privilegios elevados. Esto puede
incluir ataques de phishing, en los que un atacante envía un correo electrónico haciéndose
pasar por una entidad de confianza para engañar al destinatario para que revele sus
credenciales, lo que le da acceso al sistema. Almanza, R. (2023, 11 de mayo)
Esta vulnerabilidad se debe al manejo incorrecto de los paquetes LISP. Un atacante podría
aprovechar esta vulnerabilidad enviando un paquete LISP diseñado a un dispositivo
afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo se recargue,
lo que resultaría en una condición de denegación de servicio (DoS). (Cisco IOS And IOS XE
Software Locator ID Separation Protocol Denial Of Service Vulnerability, 2024)
Esta vulnerabilidad se debe a una gestión inadecuada de las entradas del cliente mDNS. Un
atacante podría aprovechar esta vulnerabilidad conectándose a la red inalámbrica y
enviando un flujo continuo de paquetes mDNS específicos. Un exploit exitoso podría
permitir que el atacante haga que el controlador inalámbrico tenga una alta utilización de
la CPU, lo que podría llevar a que los puntos de acceso (AP) pierdan su conexión con el
controlador y resulte en una condición DoS. (Cisco IOS XE Software For Wireless LAN
Controllers Multicast DNS Denial Of Service Vulnerability, 2024).
Reconocimiento
Los malos emplean esta táctica para recopilar información que pueda ser útil para poner en
marcha acciones contra la víctima. (Team, 2024)
Desarrollo de recursos
Mediante esta táctica, los actores maliciosos desarrollan, compran o roban recursos que
puedan ser útiles para ejecutar otras tácticas y cumplir con sus objetivos delictivos. (Team,
2024)
Acceso inicial
Como resulta obvio, mediante esta táctica los actores maliciosos buscan infiltrarse en las
redes corporativas. Para ello emplean técnicas que pueden estar dirigidas hacia varios
vectores de entrada, de cara a obtener un punto de acceso inicial a la red. Algunas de las
técnicas que se ejecutan a la hora de implementar esta táctica son el phishing, comprometer
la cadena de suministro, emplear cuentas válidas o usar servicios remotos externos. (Team,
2024)
Ejecución
Cuando los adversarios emplean esta táctica es que buscan ejecutar código malicioso en la
red corporativa. (Team, 2024)
Persistencia
Una vez que los malos ya han traspasado el perímetro de seguridad, buscan persistir el
máximo tiempo posible. (Team, 2024)
Escalado de privilegios
Como su propio nombre indica, con esta táctica, los actores maliciosos buscan conseguir un
mayor nivel de permisos en un sistema empresarial y, así, cumplir con sus objetivos, como
el secuestro de datos de los clientes de una empresa. (Team, 2024)
Evasión de defensas
Los malos intentan no ser detectados por las capas defensivas de la organización. Para ello,
han de emplear técnicas como la desinstalación las soluciones de seguridad instaladas o la
ofuscación y cifrado de ficheros ejecutables o scripts. (Team, 2024)
Acceso a credenciales
Descubrimiento
Al poner en marcha esta táctica, los delincuentes intentan recopilar información para
conocer en profundidad el sistema y la red corporativa. (Team, 2024)
Movimiento lateral
Los atacantes no solo desean descubrir cómo funciona el entorno IT empresarial, sino que,
en muchos casos, quieren moverse a través de él. Ahí es donde entra en juego el movimiento
lateral. (Team, 2024)
Recolección
El título de esta táctica nos da una pista clara de en qué consiste. Los delincuentes recopilan
datos que puedan ser de interés para alcanzar sus objetivos. (Team, 2024)
Comando y control
Al poner en marcha esta táctica, los atacantes intentan comunicarse con los sistemas que
han logrado comprometer en la infraestructura corporativa para poder controlarlos. (Team,
2024)
Exfiltración
Como señalamos al hablar de la táctica de recolección de la información, la exfiltración
consiste en robar datos de los sistemas corporativos. (Team, 2024)
Impacto
La última táctica del framework MITRE ATT&CK lleva el nombre de impacto y hace referencia
a los intentos de los actores maliciosos de manipular, alterar, interrumpir e incluso destruir
los sistemas de una empresa y su información. (Team, 2024).
Conclusiones
escalation
• Cacti. (s. f.). XSS vulnerability when adding new devices. GitHub.
https://github.com/Cacti/cacti/security/advisories/GHSA-wc73-r2vw-59pr
• Cisco IOS and IOS XE Software Locator ID Separation Protocol Denial of Service
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ci
sco-sa-lisp-3gYXs3qP
• Cisco IOS XE Software for Wireless LAN Controllers Multicast DNS Denial of Service
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ci
sco-sa-wlc-mdns-dos-4hv6pBGf
bin/cvename.cgi?name=CVE-2023-20006
bin/cvename.cgi?name=CVE-2023-20105
bin/cvename.cgi?name=CVE-2023-20192
• Fernández, L. (2023, 29 agosto). Escalada de Privilegios: cómo funcionan y cómo
protegernos. RedesZone.
https://www.redeszone.net/tutoriales/seguridad/escalada-privilegios-que-es-
funcionamiento/
attck/