Privilege Escalation (TA0004): Escalando Privilegios en el Sistema
Análisis completo de la táctica Privilege Escalation de MITRE ATT&CK (TA0004): técnicas para obtener permisos SYSTEM, root o Domain Admin. UAC bypass, exploitation, token manipulation, sudo abuse, y detección de cada técnica.
Privilege Escalation es cómo el atacante pasa de usuario limitado a control total del sistema
La táctica Privilege Escalation (TA0004) documenta las técnicas que los adversarios usan para obtener permisos más elevados en un sistema o red. El acceso inicial frecuentemente es con privilegios de usuario estándar. Para instalar persistencia avanzada, acceder a credenciales, o moverse lateralmente, el atacante necesita escalar a administrador local, SYSTEM, root, o Domain Admin.
Técnicas principales en Windows
T1548: Abuse Elevation Control Mechanism
T1548.002: UAC Bypass
UAC (User Account Control) es el mecanismo de Windows que solicita confirmación al usuario antes de ejecutar acciones privilegiadas. Los bypasses explotan programas "auto-elevating" que Windows ejecuta con privilegios elevados sin prompt.
Técnicas de bypass más usadas:
| Método | Binario abusado | Mecanismo |
|---|---|---|
| fodhelper.exe | fodhelper.exe | Lee HKCU...\ms-settings\Shell\Open\command antes de ejecutar |
| computerdefaults.exe | computerdefaults.exe | Similar: lee HKCU registry para delegated execution |
| eventvwr.exe | eventvwr.exe | Lee HKCU...\mscfile\Shell\Open\command |
| sdclt.exe | sdclt.exe | Abusa de isolation bypass en app paths |
| CMSTP.exe | cmstp.exe | INF file con comando de ejecución elevada |
| DiskCleanup | cleanmgr.exe | Scheduled task auto-elevating |
Detección:
- Sysmon Event 12/13: modificación de claves en
HKCU\Software\Classes\ms-settingsomscfile - Sysmon Event 1: procesos auto-elevating con proceso padre inusual
- Integridad del proceso: proceso con integridad alta sin prompt UAC previo
T1068: Exploitation for Privilege Escalation
Explotación de vulnerabilidades del kernel o de servicios locales privilegiados.
CVEs recientes de escalada local:
| CVE | Componente | Impacto |
|---|---|---|
| CVE-2024-30088 | Windows Kernel | User → SYSTEM |
| CVE-2023-36802 | MSKSSRV.sys | User → SYSTEM |
| CVE-2023-28252 | CLFS driver | User → SYSTEM (usado por ransomware) |
| CVE-2022-24521 | CLFS driver | User → SYSTEM |
| CVE-2021-1732 | Win32k | User → SYSTEM (usado por APTs) |
Detección:
- EDR con exploit protection (EMET/Exploit Guard)
- Sysmon: procesos de baja integridad que generan procesos de alta integridad
- Patching rápido: los exploits de escalada local son los más críticos después de RCE
T1134: Access Token Manipulation
Manipulación de tokens de seguridad de Windows para ejecutar código con privilegios de otro usuario o proceso.
Sub-técnicas:
- T1134.001: Token Impersonation/Theft — Robar token de un proceso privilegiado (SeImpersonatePrivilege)
- T1134.002: Create Process with Token — CreateProcessWithToken con token robado
- T1134.003: Make and Impersonate Token — Crear token con credenciales conocidas
- T1134.004: Parent PID Spoofing — Crear proceso con parent PID falso para heredar token
Herramientas conocidas: Potato family (JuicyPotato, SweetPotato, GodPotato, PrintSpoofer). Explotan SeImpersonatePrivilege disponible en cuentas de servicio (IIS, SQL Server, etc.).
Escenario típico:
Web shell en IIS (usuario IIS APPPOOL)
→ IIS tiene SeImpersonatePrivilege
→ GodPotato → impersonar token SYSTEM
→ Ejecución como SYSTEM
Detección:
- Sysmon Event 1: procesos con parent PID inconsistente
- Monitorizar uso de SeImpersonatePrivilege en cuentas de servicio
- Token integrity level changes: proceso que pasa de medium a high/system integrity
T1547: Boot or Logon Autostart Execution (como escalada)
Técnicas de persistencia que también escalan privilegios cuando el mecanismo ejecuta como SYSTEM:
- Servicios de Windows (ejecutan como SYSTEM por defecto)
- Scheduled Tasks con RunLevel highest
- Drivers del kernel (Ring 0)
T1078: Valid Accounts (como escalada)
Usar credenciales de una cuenta más privilegiada. Si el atacante obtiene la contraseña de un Domain Admin via Kerberoasting o credential dumping, escala instantáneamente sin exploit técnico.
Técnicas principales en Linux
T1548.001: Setuid and Setgid
Binarios con bit SUID ejecutan con los privilegios del owner (frecuentemente root), independientemente de quién los ejecute.
Buscar binarios SUID:
find / -perm -4000 -type f 2>/dev/null
SUID conocidos explotables:
/usr/bin/pkexec (CVE-2021-4034, PwnKit)
/usr/bin/sudo (múltiples CVEs)
/usr/bin/passwd (si versión vulnerable)
Binarios custom con SUID mal configurado
Detección: Inventario de binarios SUID, alertar sobre nuevos binarios con SUID.
T1548.003: Sudo and Sudo Caching
Abusar de configuraciones de sudo permisivas.
Sudo sin password:
user ALL=(ALL) NOPASSWD: ALL ← cualquier comando como root
Sudo con binarios explotables:
user ALL=(ALL) /usr/bin/vim ← vim puede escapar a shell root
user ALL=(ALL) /usr/bin/python ← python puede ejecutar código como root
user ALL=(ALL) /usr/bin/find ← find -exec permite ejecución
CVEs de sudo:
CVE-2021-3156 (Baron Samedit): heap overflow en sudo, user → root
CVE-2019-14287: sudo -u#-1 bypasa restricciones
Detección: auditd en ejecuciones de sudo, revisar /etc/sudoers regularmente, limitar binarios permitidos.
T1068 en Linux: Kernel Exploits
Exploits de kernel para user → root:
| CVE | Nombre | Kernel |
|---|---|---|
| CVE-2022-0847 | Dirty Pipe | 5.8+ |
| CVE-2021-4034 | PwnKit (pkexec) | Cualquiera con pkexec |
| CVE-2022-2588 | Dirty Cred | 5.x |
| CVE-2016-5195 | Dirty COW | 2.x-4.x |
Detección: Kernel actualizado, monitoring de procesos que cambian UID, seccomp/AppArmor/SELinux.
Escalada en Active Directory
No es una "técnica" única sino combinación de técnicas de Credential Access + Valid Accounts:
| Ruta de escalada | Técnicas involucradas | Resultado |
|---|---|---|
| Kerberoasting | T1558.003 + cracking offline | Service account → posible Domain Admin |
| AS-REP Roasting | T1558.004 + cracking | Cuentas sin pre-auth → password |
| DCSync | T1003.006 | Domain Admin → todas las credenciales del dominio |
| Silver Ticket | T1558.002 | Service account hash → acceso a servicio |
| Golden Ticket | T1558.001 | krbtgt hash → acceso total al dominio |
| Constrained Delegation abuse | T1550.003 | Service → impersonar cualquier usuario |
Detección: BloodHound para mapear rutas de escalada, monitorizar Event 4769 (TGS requests), alertar sobre DCSync (Event 4662 con replication rights).
Tabla resumen: detección de privilege escalation
| Técnica | Señal principal | Event/Log |
|---|---|---|
| UAC bypass | Registry mod en HKCU + auto-elevating binary | Sysmon 12/13 + 1 |
| Kernel exploit | Proceso low→high integrity | EDR + Sysmon 1 |
| Token manipulation | Parent PID spoofing, SeImpersonate | Sysmon 1 + token audit |
| SUID abuse | Nuevo binario SUID o ejecución anómala | auditd + SUID inventory |
| Sudo abuse | sudo con binarios explotables | auditd + sudoers review |
| Kerberoasting | TGS requests masivas con RC4 | Event 4769 |
| DCSync | Replication rights desde no-DC | Event 4662 |
Conclusión
Privilege Escalation transforma un acceso limitado en control total. En Windows, UAC bypass y token manipulation son las rutas más frecuentes. En Linux, sudo misconfiguration y SUID abuse. En AD, Kerberoasting y DCSync. La detección requiere Sysmon configurado, auditoría de AD, y conocimiento de las rutas de escalada específicas de tu entorno. La siguiente táctica, Defense Evasion, es cómo el atacante oculta todas estas acciones.
Fuentes y referencias
- MITRE ATT&CK: Privilege Escalation (TA0004)
- GTFOBins: Unix binaries for privilege escalation
- LOLBAS: Living Off The Land Binaries
- HackTricks: Privilege Escalation methodology
- SpecterOps: BloodHound documentation (AD attack paths)
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.