Élévation verticale de privilèges
Qu'est-ce que Élévation verticale de privilèges ?
Élévation verticale de privilègesVulnérabilité permettant à un utilisateur peu privilégié d'obtenir des droits supérieurs, généralement administrateur, root ou SYSTEM.
L'élévation verticale traverse une frontière de confiance : un attaquant qui contrôle un compte standard ou un processus bac-à-sable accède aux droits d'un rôle plus puissant. Côté OS, elle vient souvent de bugs noyau ou de pilotes, d'abus de setuid/sudo ou de vol de jetons. Dans les applications web, elle apparaît quand un utilisateur standard peut appeler des endpoints d'administration parce que la vérification de rôle est absente ou effectuée côté client. L'impact est lourd : compromission complète d'un hôte, prise de contrôle d'un locataire, accès illimité aux données. Les défenses combinent moindre privilège, autorisation côté serveur pour chaque action sensible, durcissement du noyau et correctifs réguliers.
● Exemples
- 01
Bug d'un pilote Windows permettant à un utilisateur standard d'exécuter du code en SYSTEM.
- 02
API /admin sans vérification de rôle, autorisant un utilisateur normal à créer des administrateurs.
● Questions fréquentes
Qu'est-ce que Élévation verticale de privilèges ?
Vulnérabilité permettant à un utilisateur peu privilégié d'obtenir des droits supérieurs, généralement administrateur, root ou SYSTEM. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Élévation verticale de privilèges ?
Vulnérabilité permettant à un utilisateur peu privilégié d'obtenir des droits supérieurs, généralement administrateur, root ou SYSTEM.
Comment se défendre contre Élévation verticale de privilèges ?
Les défenses contre Élévation verticale de privilèges combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Élévation verticale de privilèges ?
Noms alternatifs courants : EoP verticale.