ETHICAL HACKING

por
Levy Aguilar

Asignacion 3- Ensayo
Introducción

La escalada de privilegios es cuando un actor de amenaza obtiene acceso y derechos

administrativos elevados a un sistema explotando las vulnerabilidades de seguridad. Al
modificar los permisos de identidad para otorgarles más derechos y prestaciones
administrativas, la escalada de privilegios permite a los atacantes llevar a cabo actividades
malintencionadas con niveles de privilegios más altos, produciendo potencialmente daños
significativos.

Los sistemas informáticos tienen diversos niveles de privilegios, que van desde usuarios
estandarizados con permisos limitados hasta administradores con control total sobre el
sistema. Una incidencia exitosa de escalada de privilegios implica que el atacante logra
escalar su propio nivel de privilegio, ganando, por tanto, un mayor nivel de control.
(Proofpoint ES, 2024)
¿Qué es exactamente la Escalada de Privilegios?

Es una situación que ocurre cuando un usuario malicioso explota una vulnerabilidad. Esta
puede consistir en un bug o un fallo en el diseño de la aplicación. También puede tratarse
de cierto error de configuración de la aplicación o del sistema operativo en el cual está
operando el usuario. Básicamente, lo que sucede es que el usuario malicioso (el
cibercriminal) termina obteniendo acceso privilegiado a recursos que, de acuerdo con sus
permisos por defecto, no debería tenerlos. Dichos privilegios de acceso le darán la
posibilidad de robar datos confidenciales y/o de carácter sensible, ejecutar comandos con
permisos de administrador. O peor aún, puede arrojar malware o ransomware, lo cual
dañaría tu sistema operativo en gran medida. (Fernández, 2023).

Escalada de privilegios vertical frente a horizontal

Las escaladas de privilegios verticales y horizontales, a menudo confundidas, se refieren a

diferentes métodos para obtener mayores privilegios dentro de un sistema o una red. La
escalada de privilegios horizontal significa obtener acceso al mismo nivel de privilegios que
un usuario. Por el contrario, la escalada vertical de privilegios se refiere a obtener un nivel
de privilegios superior al del usuario. Almanza, R. (2023, 11 de mayo)

En caso de una escalada horizontal de privilegios, un empleado de bajo nivel con acceso a
datos confidenciales puede usar ese acceso para obtener los mismos privilegios que un
empleado de nivel superior, como un gerente. Esto permite que el atacante realice acciones
con el mismo nivel de autoridad que el empleado comprometido. Almanza, R. (2023, 11 de
mayo)

Por otro lado, la escalada vertical de privilegios se refiere al proceso de obtener privilegios
más altos que los que tiene el usuario actualmente. Por ejemplo, un empleado de bajo nivel
puede explotar una vulnerabilidad en el sistema para obtener privilegios administrativos,
obteniendo así la capacidad de realizar acciones con un nivel de autoridad mucho mayor.
Almanza, R. (2023, 11 de mayo)

Tipos comunes de técnicas o métodos de escalada de privilegios

Hay varios tipos de técnicas de escalada de privilegios que los atacantes pueden usar para
comprometer un sistema. Algunos de ellos se discuten a continuación.

Ingeniería social: en esta técnica, un atacante engaña a un usuario para que revele sus
credenciales o realice acciones que otorgan al atacante privilegios elevados. Esto puede
incluir ataques de phishing, en los que un atacante envía un correo electrónico haciéndose
pasar por una entidad de confianza para engañar al destinatario para que revele sus
credenciales, lo que le da acceso al sistema. Almanza, R. (2023, 11 de mayo)

Ataques de tabla pass-the-hash/Rainbow: otra técnica es el ataque pass-the-hash (PtH),

que tiene como objetivo hacerse pasar por un usuario mediante el uso de un hash de
contraseña robado para crear una nueva sesión en la misma red. Para defenderse de este
ataque, los sistemas modernos deben emplear soluciones robustas de administración de
contraseñas para mantener el hash único entre dos sesiones. Almanza, R. (2023, 11 de
mayo)

Vulnerabilidades y exploits: la explotación de vulnerabilidades en el software y los sistemas

operativos es otro método popular de escalada de privilegios. Aquí, los atacantes explotan
vulnerabilidades de software sin parches, problemas de desbordamiento de búfer u otras
puertas traseras para obtener una escalada de privilegios. Almanza, R. (2023, 11 de mayo)

Configuraciones incorrectas: en este ataque, el atacante aprovecha los sistemas

configurados incorrectamente para escalar sus privilegios. Esto puede incluir contraseñas
débiles, servicios de red no seguros, puertos abiertos, fallas auténticas y otros sistemas mal
configurados. Almanza, R. (2023, 11 de mayo).

Exploits de kernel: en esta técnica, el atacante explota vulnerabilidades de día cero en el

kernel del sistema operativo para escalar sus privilegios. Esto representa una seria amenaza
ya que el núcleo obtiene el control total del sistema y puede eludir las medidas de seguridad.
Almanza, R. (2023, 11 de mayo).

Vulnerabilidades que permiten la escala de privilegios

CVE-2023-20105: Una vulnerabilidad en la funcionalidad de cambio de contraseña de Cisco
Expressway Series y Cisco TelePresence Video Communication Server (VCS) podría permitir
a un atacante remoto autenticado con credenciales de solo lectura elevar privilegios a
Administrador en un sistema afectado. Esta vulnerabilidad se debe al manejo incorrecto de
las solicitudes de cambio de contraseña. Un atacante podría aprovechar esta vulnerabilidad
autenticándose en la aplicación como usuario de solo lectura y enviando una solicitud
diseñada a la interfaz de administración basada en web. Un exploit exitoso podría permitir
al atacante alterar las contraseñas de cualquier usuario del sistema, incluido un usuario
administrativo, y luego hacerse pasar por ese usuario. Nota: La serie Cisco Expressway se
refiere al dispositivo Expressway Control (Expressway-C) y al dispositivo Expressway Edge
(Expressway-E). (CVE - CVE-2023-20105, s. f.)

CVE-2023-20006: Una vulnerabilidad en la funcionalidad de criptografía SSL/TLS basada en

hardware del software Cisco Adaptive Security Appliance (ASA) y el software Cisco
Firepower Threat Defense (FTD) para los dispositivos Cisco Firepower serie 2100 podría
permitir que un atacante remoto no autenticado provoque la recarga de un dispositivo
afectado. inesperadamente, lo que resulta en una condición de denegación de servicio
(DoS). Esta vulnerabilidad se debe a un error de implementación dentro de las funciones
criptográficas para el procesamiento del tráfico SSL/TLS cuando se descargan al hardware.
Un atacante podría aprovechar esta vulnerabilidad enviando un flujo diseñado de tráfico
SSL/TLS a un dispositivo afectado. Un exploit exitoso podría permitir al atacante provocar
un error inesperado en el motor de criptografía basado en hardware, lo que podría provocar
que el dispositivo se recargara. (CVE - CVE-2023-20006, s. f.)

CVE-2024-20311: Una vulnerabilidad en la función del Protocolo de separación de ID del

localizador (LISP) del software Cisco IOS y del software Cisco IOS XE podría permitir que un
atacante remoto no autenticado provoque la recarga de un dispositivo afectado.

Esta vulnerabilidad se debe al manejo incorrecto de los paquetes LISP. Un atacante podría
aprovechar esta vulnerabilidad enviando un paquete LISP diseñado a un dispositivo
afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo se recargue,
lo que resultaría en una condición de denegación de servicio (DoS). (Cisco IOS And IOS XE
Software Locator ID Separation Protocol Denial Of Service Vulnerability, 2024)

CVE-2023-20192: Múltiples vulnerabilidades en Cisco Expressway Series y Cisco

TelePresence Video Communication Server (VCS) podrían permitir que un atacante
autenticado con credenciales de solo lectura de nivel de administrador eleve sus privilegios
a Administrador con credenciales de lectura y escritura en un sistema afectado. Nota: "Serie
Cisco Expressway" se refiere a los dispositivos Cisco Expressway Control (Expressway-C) y
Cisco Expressway Edge (Expressway-E). (CVE - CVE-2023-20192, s. f.)

CVE-2024-20303: Una vulnerabilidad en la función de puerta de enlace DNS de multidifusión

(mDNS) del software Cisco IOS XE para controladores de LAN inalámbrica (WLC) podría
permitir que un atacante adyacente no autenticado provoque una condición de denegación
de servicio (DoS).

Esta vulnerabilidad se debe a una gestión inadecuada de las entradas del cliente mDNS. Un
atacante podría aprovechar esta vulnerabilidad conectándose a la red inalámbrica y
enviando un flujo continuo de paquetes mDNS específicos. Un exploit exitoso podría
permitir que el atacante haga que el controlador inalámbrico tenga una alta utilización de
la CPU, lo que podría llevar a que los puntos de acceso (AP) pierdan su conexión con el
controlador y resulte en una condición DoS. (Cisco IOS XE Software For Wireless LAN
Controllers Multicast DNS Denial Of Service Vulnerability, 2024).

CVE-2023-39361: de severidad “Crítica”, con puntuación asignada de 9.8. Esta

vulnerabilidad de inyección SQL (SQLi) se debe a una falla de seguridad en la función
grow_right_pane_tree tras el llamado al archivo graph_view.php de Cacti. Esto permitiría a
un atacante a través del acceso de usuarios invitados sin autenticación, para obtener
privilegios administrativos y también provocar ejecución remota de código (RCE) alterando
el valor 'path_php_binary' en la base de datos del sistema afectado. (Cacti, s. f.)

¿Para qué los cibercriminales utilizarían técnicas de comando y control? El marco de

trabajo MITRE ATT&CK define cada una de las tácticas de forma somera y lista todas las
técnicas y sub-técnicas que pueden usar los adversarios de una compañía para ejecutarlas
con éxito. (Team, 2024)

Reconocimiento

Los malos emplean esta táctica para recopilar información que pueda ser útil para poner en
marcha acciones contra la víctima. (Team, 2024)

Desarrollo de recursos

Mediante esta táctica, los actores maliciosos desarrollan, compran o roban recursos que
puedan ser útiles para ejecutar otras tácticas y cumplir con sus objetivos delictivos. (Team,
2024)

Acceso inicial

Como resulta obvio, mediante esta táctica los actores maliciosos buscan infiltrarse en las
redes corporativas. Para ello emplean técnicas que pueden estar dirigidas hacia varios
vectores de entrada, de cara a obtener un punto de acceso inicial a la red. Algunas de las
técnicas que se ejecutan a la hora de implementar esta táctica son el phishing, comprometer
la cadena de suministro, emplear cuentas válidas o usar servicios remotos externos. (Team,
2024)

Ejecución

Cuando los adversarios emplean esta táctica es que buscan ejecutar código malicioso en la
red corporativa. (Team, 2024)

Persistencia

Una vez que los malos ya han traspasado el perímetro de seguridad, buscan persistir el
máximo tiempo posible. (Team, 2024)

Escalado de privilegios
Como su propio nombre indica, con esta táctica, los actores maliciosos buscan conseguir un
mayor nivel de permisos en un sistema empresarial y, así, cumplir con sus objetivos, como
el secuestro de datos de los clientes de una empresa. (Team, 2024)

Evasión de defensas

Los malos intentan no ser detectados por las capas defensivas de la organización. Para ello,
han de emplear técnicas como la desinstalación las soluciones de seguridad instaladas o la
ofuscación y cifrado de ficheros ejecutables o scripts. (Team, 2024)

Acceso a credenciales

Esta táctica maliciosa gira en torno a la obtención o robo de nombres de usuarios y

contraseñas. (Team, 2024)

Descubrimiento

Al poner en marcha esta táctica, los delincuentes intentan recopilar información para
conocer en profundidad el sistema y la red corporativa. (Team, 2024)

Movimiento lateral

Los atacantes no solo desean descubrir cómo funciona el entorno IT empresarial, sino que,
en muchos casos, quieren moverse a través de él. Ahí es donde entra en juego el movimiento
lateral. (Team, 2024)

Recolección

El título de esta táctica nos da una pista clara de en qué consiste. Los delincuentes recopilan
datos que puedan ser de interés para alcanzar sus objetivos. (Team, 2024)

Comando y control

Al poner en marcha esta táctica, los atacantes intentan comunicarse con los sistemas que
han logrado comprometer en la infraestructura corporativa para poder controlarlos. (Team,
2024)

Exfiltración
Como señalamos al hablar de la táctica de recolección de la información, la exfiltración
consiste en robar datos de los sistemas corporativos. (Team, 2024)

Impacto

La última táctica del framework MITRE ATT&CK lleva el nombre de impacto y hace referencia
a los intentos de los actores maliciosos de manipular, alterar, interrumpir e incluso destruir
los sistemas de una empresa y su información. (Team, 2024).

Conclusiones

El escalado de privilegios es un aspecto crítico en la seguridad informática que se refiere a

la capacidad de un atacante para obtener un nivel de acceso superior al que inicialmente
poseía en un sistema. Este proceso puede ocurrir de diversas maneras y puede tener
consecuencias graves para la integridad y confidencialidad de los sistemas afectados.
 Referencias Bibliográficas

• ¿Qué es la escalada de privilegios? – Tipos, ejemplos y más | Proofpoint ES. (2024, 1

febrero). Proofpoint. https://www.proofpoint.com/es/threat-reference/privilege-

escalation

• Almanza, R. (2023, mayo 11). Ataque: La escalada de privilegios.

• Cacti. (s. f.). XSS vulnerability when adding new devices. GitHub.

https://github.com/Cacti/cacti/security/advisories/GHSA-wc73-r2vw-59pr

• Cisco IOS and IOS XE Software Locator ID Separation Protocol Denial of Service

Vulnerability. (2024, 27 marzo).

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ci

sco-sa-lisp-3gYXs3qP

• Cisco IOS XE Software for Wireless LAN Controllers Multicast DNS Denial of Service

Vulnerability. (2024, 27 marzo).

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ci

sco-sa-wlc-mdns-dos-4hv6pBGf

• CVE - CVE-2023-20006. (s. f.). https://cve.mitre.org/cgi-

bin/cvename.cgi?name=CVE-2023-20006

• CVE - CVE-2023-20105. (s. f.). https://cve.mitre.org/cgi-

bin/cvename.cgi?name=CVE-2023-20105

• CVE - CVE-2023-20192. (s. f.). https://cve.mitre.org/cgi-

bin/cvename.cgi?name=CVE-2023-20192
• Fernández, L. (2023, 29 agosto). Escalada de Privilegios: cómo funcionan y cómo

protegernos. RedesZone.

https://www.redeszone.net/tutoriales/seguridad/escalada-privilegios-que-es-

funcionamiento/

• Team, C. 4. A. (2024, 14 marzo). MITRE ATT&CK: ¿Qué tácticas y técnicas emplean

los ciberdelincuentes? Tarlogic Security. https://www.tarlogic.com/es/blog/mitre-

attck/