Unterschied zwischen vertikaler und horizontaler Eskalation?

Vertikale Eskalation gewinnt höhere Privilegien (Standardbenutzer → Root oder Domain Admin). Horizontale bewegt sich seitlich zu einem anderen Konto auf gleicher Stufe. Die meisten vollen Kompromittierungen verketten beide.

Häufige Linux-Techniken?

Kernel-Exploits (Dirty Pipe, OverlayFS), Missbrauch von SUID/SGID, schwache sudo-Konfigurationen, schreibbare PATH/Cron, Capability-Fehlkonfigurationen, Container-Escape, wiederverwendete Credentials, freigelegte Kubernetes-Service-Account-Tokens. Tools: LinPEAS, linux-exploit-suggester, GTFOBins.

Häufige Windows-Techniken?

Unquoted Service Paths, schwache Service-Berechtigungen, AlwaysInstallElevated, Token-Impersonation (SeImpersonatePrivilege via JuicyPotato), DLL-Hijacking, Missbrauch geplanter Aufgaben und AD-Fehlkonfigurationen wie Kerberoasting, AS-REP Roasting, ACL-Missbrauchspfade in BloodHound.

Wie erkennt man Eskalation?

Auf ungewöhnliche Parent-Child-Prozessbeziehungen achten, Token-Manipulationen, neue Admin/Root-Sessions, anomale sudo-Nutzung, GPO/AD-Mitgliedschaftsänderungen (Event 4732), Service-Erstellung durch Nicht-Admins. EDR und Sysmon erkennen die meisten Muster.

Privilegieneskalation Erklärt

Warum Es Wichtig Ist

Initialer Zugriff bringt Angreifer selten dorthin, wo sie sein müssen. Das Phishing-Opfer hält selten die gesuchten Daten, also schwenken Angreifer per Privilegieneskalation. Eskalationspfade zu verstehen ist fundamental für Red Teamer, Pentester und SOC-Analysten.

SolarWinds (2020) schwenkte von Supply-Chain-Kompromittierung zu gefälschten SAML-Tokens mit Global-Admin-Effekt. Sony Pictures (2014) nutzte Credential-Diebstahl und AD-Missbrauch.

Typen

Eskalationspfade

Initialer Zugriff

Vertikale Eskalation

Horizontale Bewegung

Domänen-Dominanz

Persistenz

Vertikal

Standardbenutzer → Local Admin
Local Admin → SYSTEM/Root
Domain User → Domain Admin
Cloud User → Cloud Admin

Horizontal

Postfach A → Postfach B
Tenant-Daten → andere Tenant-Daten
Workload → anderer Workload

Linux-Techniken

linux-priv-esc.sh

Bash

# Schnelle Prüfungen
sudo -l
find / -perm -4000 2>/dev/null
find / -writable -type d 2>/dev/null
cat /etc/crontab
getcap -r / 2>/dev/null
echo $PATH
uname -a

SUID-Missbrauch: Binaries aus GTFOBins
Sudo-Fehlkonfigurationen: NOPASSWD auf gefährlichen Befehlen
Kernel-Exploits: Dirty Pipe, OverlayFS, Sequoia
Schreibbare Cron-Jobs
Container-Escape

Windows-Techniken

Technik	Beschreibung	Erkennung
Unquoted Service Path	Pfad mit Leerzeichen ohne Quotes	Service-Audit
Schwache Service-Permissions	Binary/Config ändern	Sysmon 12/13
Token-Impersonation	SeImpersonatePrivilege	Token-Events
AlwaysInstallElevated	MSI als SYSTEM	GPO-Audit
Kerberoasting	Service-Tickets cracken	Event 4769
ACL-Missbrauch	AD-Permissions ändern	BloodHound
UAC-Bypass	DLL-Hijacking	Verhaltens-EDR

Cloud-Eskalation

IAM-Rollenverkettung (iam:PassRole, sts:AssumeRole)
Übernahme von Lambda-Ausführungsrollen
Übermäßige Identity-Provider-Berechtigungen
Fehlkonfigurierte Federation-Trusts
Kompromittierte CI/CD

Erkennung und Prävention

Geringstes Privileg rigoros anwenden.
Kernel und OS patchen, besonders CISA KEV.
Local Admin Password Solution (LAPS).
EDR + Sysmon mit Eskalations-Regeln.
Tier-0-Isolation der Identität.
BloodHound für AD-Pfade.
Cloud-Blast-Radius begrenzen (SCPs, Permission Boundaries).

Wie wir Privilegieneskalation unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur Privilegieneskalation in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 10: Penetrationstests und Ethisches Hacking

Verwandte Themen, die Sie beherrschen werden:MetasploitNmapBurp SuitePrivilege Escalation

Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive

Blog

Karriere-Guides

Glossar

Zertifizierungen

Vergleiche

Tools

Autoren

Unternehmensschulung

Unsere Talente Einstellen

Privilegieneskalation