Privilege Escalation (Privesc)

La privilege escalation (privesc) désigne l'ensemble des techniques permettant à un attaquant disposant d'un accès limité (utilisateur standard) d'obtenir des privilèges supérieurs (root sur Linux/Unix, SYSTEM ou Administrator sur Windows). C'est une étape critique de la kill chain après l'accès initial, conditionnant la capacité à exécuter du code arbitraire, dump les credentials, désactiver les défenses.

Deux catégories : (1) horizontale — accéder aux ressources d'un autre utilisateur de même niveau (IDOR, account takeover) ; (2) verticale — passer à un niveau supérieur de privilège.

Windows privesc : (1) services mal configurés (unquoted service path, weak service permissions, modifiable binary) ; (2) AlwaysInstallElevated registry ; (3) DLL hijacking ; (4) UAC bypass (fodhelper, computerdefaults, eventvwr) ; (5) token impersonation (Potato family : Hot/Rotten/Juicy/Rogue/PrintSpoofer/GodPotato exploitent les SeImpersonatePrivilege) ; (6) credential reuse / password in registry ; (7) Active Directory misconfigurations (SeBackupPrivilege, AddMember, RBCD).

Linux privesc : (1) SUID/SGID binaries (GTFOBins) ; (2) sudo misconfigurations (NOPASSWD, sudo -l) ; (3) cron jobs writable ; (4) kernel exploits (DirtyCow CVE-2016-5195, DirtyPipe CVE-2022-0847, PwnKit CVE-2021-4034, Sequoia CVE-2021-33909, Looney Tunables CVE-2023-4911) ; (5) Capabilities (getcap -r /) ; (6) Docker socket exposé, écoute LXD, NFS no_root_squash ; (7) PATH hijacking, library hijacking.

Outils d'énumération : WinPEAS / LinPEAS (PEASS-ng), PowerUp, BeRoot, LinEnum, pspy, GTFOBins (Unix), LOLBAS (Windows). Mitigations : patching agressif, principle of least privilege, EDR, hardening (CIS Benchmarks), application allowlisting (AppLocker, WDAC).