# T1068 - Exploitation for Privilege Escalation ## Descrição **T1068 - Exploitation for Privilege Escalation** é uma técnica de [[Privilege Escalation]] na qual adversários exploram vulnerabilidades em software ou no sistema operacional para elevar seus privilégios de usuário comum para administrador local ou SYSTEM. Ao contrário de técnicas que abusam de configurações legítimas do sistema, esta abordagem envolve a exploração ativa de falhas de segurança não corrigidas - incluindo vulnerabilidades de kernel, falhas em drivers de dispositivo, bugs em serviços privilegiados e falhas em componentes do sistema operacional que executam com permissões elevadas. A técnica é particularmente eficaz em ambientes corporativos onde o ciclo de patching é lento ou onde sistemas legados mantêm versões desatualizadas de software. Adversários frequentemente combinam esta técnica com exploits públicos ou provas de conceito (PoC) disponíveis logo após a divulgação de CVEs críticos, aproveitando a jánela entre a públicação da vulnerabilidade e a aplicação do patch pelos defensores. Em muitos casos, exploits são desenvolvidos internamente por grupos de ameaça avançados e mantidos como ferramentas exclusivas por meses ou anos antes de serem detectados. No contexto de ataques sofisticados, a T1068 frequentemente aparece como passo intermediário em cadeias de exploração mais longas: após obter acesso inicial via [[t1566-phishing|T1566 - Phishing]] ou [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], o adversário executa um exploit de escalada de privilégios para sair do contexto restrito do usuário comprometido e assumir controle total da máquina. O grupo [[qilin|Qilin]] integra exploits de escalada de privilégios em sua cadeia de ataque ransomware para garantir controle total sobre sistemas antes da fase de criptografia. ## Como Funciona A exploração para escalada de privilégios pode ocorrer em diferentes camadas do sistema operacional. As categorias mais comuns incluem: **Exploits de kernel:** Vulnerabilidades no núcleo do sistema operacional permitem que código executado no espaço de usuário obtenha acesso ao espaço de kernel. Exemplos clássicos incluem falhas em chamadas de sistema (`syscalls`), vulnerabilidades de use-after-free em subsistemas de memória do kernel, e falhas em implementações de proteções como SMEP/SMAP no Windows e Linux. Exploits de kernel são altamente valorizados pois fornecem o mais alto nível de acesso possível. **Exploits em drivers de dispositivo:** Drivers funcionam no nível de kernel e frequentemente apresentam superfície de ataque significativa. Dispositivos com drivers desatualizados ou de terceiros mal auditados são alvos comuns. Adversários também utilizam a técnica BYOVD (Bring Your Own Vulnerable Driver), na qual carregam um driver legítimo mas vulnerável no sistema para depois explorá-lo e obter execução em modo kernel. **Exploits em serviços privilegiados:** Serviços do Windows que executam como `SYSTEM` ou com `SeImpersonatePrivilege` podem ser alvos de exploits locais. Falhas de path hijacking, DLL injection e race conditions em serviços privilegiados são vetores frequentemente utilizados. No Linux, serviços SUID/SGID mal configurados ou binários com capabilities excessivas são equivalentes. **Exploits em componentes do ambiente de execução:** Vulnerabilidades em runtimes como JVM, .NET CLR, browsers com sandbox, e containers mal configurados podem ser encadeadas para escapar de ambientes restritos e elevar privilégios no host. O fluxo típico de exploração envolve: identificação da versão do OS/software vulnerável, seleção ou desenvolvimento do exploit adequado, execução do payload de escalada, e confirmação do nível de privilégio obtido antes de prosseguir com os objetivos finais do ataque. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>(usuário restrito)"] --> B["Reconhecimento Local<br/>(versão OS, kernel, drivers)"] B --> C["Identificação de<br/>Vulnerabilidade Explorável"] C --> D["Seleção / Compilação<br/>do Exploit"] D --> E["Execução do Exploit<br/>de Escalada"] E --> F{"Escalada<br/>Bem-sucedida?"} F -->|"Sim"| G["Acesso SYSTEM/<br/>root obtido"] F -->|"Não"| H["Tenta Exploit<br/>Alternativo"] H --> D G --> I["Persistência Estabelecida<br/>com Altos Privilégios"] I --> J["Movimento Lateral<br/>/ Impacto Final"] ``` ## Exemplos de Uso **Qilin Ransomware Group:** O grupo [[qilin|Qilin]], ativo desde 2022, incorpora exploits de escalada de privilégios em sua cadeia de ataque para garantir que o payload de ransomware execute com permissões de SYSTEM, maximizando o alcance da criptografia e dificultando a recuperação. O grupo tem sido observado explorando [[cve-2024-0012|CVE-2024-0012]] e vulnerabilidades similares em appliances de segurança de rede para escalar de acesso inicial restrito a controle administrativo total. **APT grupos com BYOVD:** Grupos de ameaça patrocinados por estados, incluindo atores norte-coreanos e russos, têm utilizado sistematicamente a técnica BYOVD (Bring Your Own Vulnerable Driver) para carregar drivers legítimos mas vulneráveis - como o driver `gdrv.sys` da GIGABYTE ou o `RTCore64.sys` da MSI - e explorar falhas neles para executar código em modo kernel, desabilitar soluções de segurança (EDRs) e escalar privilégios. Esta abordagem evita detecção baseada em assinatura de exploit e aproveita drivers com certificados digitais válidos. **EternalBlue e MS17-010:** O exploit EternalBlue, desenvolvido pela NSA e vazado pelo grupo Shadow Brokers em 2017, explorava uma vulnerabilidade no protocolo SMBv1 do Windows (MS17-010) para obter execução de código com privilégios de SYSTEM remotamente. Foi utilizado nos ataques globais de ransomware WannaCry e NotPetya em 2017, causando bilhões de dólares em danos. A técnica combinava exploração remota com escalada de privilégios em uma única cadeia de exploração. **Kernel exploits Linux (Dirty Pipe / Dirty Cow):** CVEs como CVE-2022-0847 (Dirty Pipe) e CVE-2016-5195 (Dirty Cow) demonstram como vulnerabilidades de escalada de privilégios no kernel Linux podem ser exploradas por qualquer usuário local para obter acesso root. Esses exploits foram amplamente utilizados em ataques a servidores Linux, containers Docker mal configurados e dispositivos Android, sendo ferramentas comuns em arsenais de grupos de crime cibernético. ## Detecção ```yaml title: Exploitation for Privilege Escalation - Suspicious Process Elevation status: experimental description: > Detecta processos que obtiveram elevação súbita de privilégios sem mecanismo legítimo de autenticação ou UAC. Pode indicar exploração de vulnerabilidade de kernel ou driver. logsource: category: process_creation product: windows detection: selection_system_parent: ParentImage|endswith: - '\svchost.exe' - '\services.exe' IntegrityLevel: 'System' User|contains: - 'SYSTEM' filter_known_legit: ParentCommandLine|contains: - 'TrustedInstaller' - 'wuauclt' condition: selection_system_parent and not filter_known_legit falsepositives: - Instaladores legítimos de software que requerem SYSTEM - Scripts de administração de TI level: high tags: - attack.privilege_escalation - attack.t1068 ``` ```yaml title: Suspicious Driver Load - Potential BYOVD Attack status: experimental description: > Detecta carregamento de drivers conhecidamente vulneráveis utilizados em ataques BYOVD (Bring Your Own Vulnerable Driver). logsource: category: driver_load product: windows detection: selection: Hashes|contains: - 'md5=f80cd3d76db00a1b5e39cd7c53c0af48' - 'sha256=31f4cfb4c71da44120752721103a16512444c13d9e8d1ebf0debbec7...' condition: selection falsepositives: - Drivers legítimos com hash similar (improvável) level: critical tags: - attack.privilege_escalation - attack.t1068 - attack.defense_evasion - attack.t1562 ``` **Estrategias complementares de detecção:** - Monitorar eventos de auditoria Windows para elevações de token inesperadas (Event ID 4672, 4673) - Alertar em processos criados pelo kernel sem cadeia de processo pai legítima - Implementar detecção comportamental para padrões de exploração de kernel (acesso a estruturas EPROCESS, modificações em tokens de segurança) - Monitorar carregamentos de drivers contra lista de drivers vulneráveis conhecidos (lolDrivers.io) - Analisar eventos Sysmon (EventID 6 - Driver Load) para drivers não assinados ou com assinaturas revogadas ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1048-application-isolation-and-sandboxing\|M1048]] | Application Isolation and Sandboxing | Isolar processos de alto risco em sandboxes para limitar o impacto de exploits bem-sucedidos | | [[m1050-exploit-protection\|M1050]] | Exploit Protection | Habilitar proteções como DEP, ASLR, CFG no Windows Defender Exploit Guard; usar kernel.randomize_va_space no Linux | | [[m1019-threat-intelligence-program\|M1019]] | Threat Intelligence Program | Monitorar CVEs críticos de kernel e aplicar patches priorizando vulnerabilidades com exploit público disponível | | [[m1051-update-software\|M1051]] | Updaté Software | Manter sistema operacional, drivers e software de terceiros atualizados; implementar processo de patching acelerado para vulnerabilidades críticas | | [[m1038-execution-prevention\|M1038]] | Execution Prevention | Implementar controle de aplicações (AppLocker, WDAC) para bloquear carregamento de drivers não autorizados e exploits conhecidos | ## Contexto Brasil/LATAM A técnica T1068 tem relevância elevada no contexto brasileiro e latino-americano por múltiplas razões estruturais. O Brasil possui uma das maiores proporções de sistemas operacionais desatualizados na América Latina - estimativas do setor indicam que parcela significativa do parque corporativo ainda executa versões de Windows sem suporte ativo, criando jánelas de exploração permanentes para vulnerabilidades de kernel com exploits públicos disponíveis. O setor financeiro brasileiro, altamente digitalizado e alvo prioritário de grupos de crime cibernético, enfrenta ameaças constantes de grupos como [[prilex|Prilex]], [[s0531-grandoreiro|Grandoreiro]] e outros trojans bancários regionais que encadeiam exploits de escalada de privilégios com [[t1055-process-injection|T1055 - Process Injection]] para comprometer terminais de ponto de venda (PoS) e sistemas bancários. A exploração de privilégios garante que malware possa desabilitar soluções de segurança e persistir mesmo após reinicializações do sistema. Infraestrutura crítica nacional - incluindo utilities de energia elétrica, empresas de telecomúnicações e agências governamentais - frequentemente opera com sistemas SCADA/ICS que executam versões antigas de Windows Embedded ou Linux sem patches regulares. Nesses ambientes, exploits de escalada de privilégios podem comprometer sistemas de controle industrial, representando riscos à segurança nacional. O CERT.br registra incidentes recorrentes nessa categoria, com agravante de que muitos operadores de infraestrutura crítica carecem de capacidade de resposta a incidentes especializada. ## Referências - [[qilin|Qilin Ransomware Group]] - [[cve-2024-0012|CVE-2024-0012]] - [[t1548-002-bypass-uac|T1548.002 - Bypass User Account Control]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1566-phishing|T1566 - Phishing]] - [[m1050-exploit-protection|M1050 - Exploit Protection]] - [[m1051-update-software|M1051 - Updaté Software]] --- *Fonte: [MITRE ATT&CK - T1068](https://attack.mitre.org/techniques/T1068/)*