Eskalacja uprawnień to luka w zabezpieczeniach i wektor ataku w informatyce, który wykorzystuje słabość mechanizmu uwierzytelniania zajmującego się kontrolą dostępu w celu uzyskania uprawnień wyższego poziomu. Innymi słowy, złośliwy użytkownik z dostępem do konta w systemie komputerowym lub sieci może wykorzystać tę lukę, aby uzyskać dodatkowe uprawnienia, do których nie jest zwykle uprawniony, takie jak dostęp administratora.
Główne rodzaje ataków eskalacji uprawnień to pozioma i pionowa eskalacja uprawnień. W poziomej eskalacji uprawnień użytkownik z ograniczonym dostępem do systemu jest w stanie zmodyfikować system w pewien sposób, aby uzyskać dostęp do zasobów, do których normalnie nie miałby dostępu, takich jak poufne dokumenty. Pionowa eskalacja uprawnień występuje, gdy użytkownik z niskim poziomem dostępu jest w stanie uzyskać wyższe uprawnienia, takie jak możliwość usuwania, dodawania lub modyfikowania plików.
Typowe wektory ataków eskalacji uprawnień obejmują wykorzystywanie luk w oprogramowaniu, inżynierię społeczną i wykorzystywanie słabości konfiguracji. Wykorzystywanie luk w oprogramowaniu zazwyczaj polega na wykorzystywaniu błędów w kodowaniu, które programista popełnił podczas pisania kodu aplikacji, umożliwiając złośliwym użytkownikom obejście środków uwierzytelniania. Inżynieria społeczna polega na przekonaniu użytkownika do podania swoich danych uwierzytelniających lub w inny sposób zmanipulowaniu go do przyznania atakującemu większych uprawnień. Z kolei wykorzystywanie słabości konfiguracji polega na wykorzystywaniu ustawień, które zostały zbyt szeroko lub nieprawidłowo skonfigurowane przez administratora systemu.
Eskalacja uprawnień jest uważana za poważne zagrożenie dla bezpieczeństwa, a organizacje i osoby prywatne powinny podjąć odpowiednie kroki w celu ochrony swoich systemów i sieci przed takimi atakami. Powszechne środki bezpieczeństwa mające na celu ochronę przed atakami eskalacji uprawnień obejmują audyt konfiguracji systemu i sieci, odpowiednią kontrolę dostępu użytkowników, regularne aktualizowanie oprogramowania i silne mechanizmy uwierzytelniania. Wdrożenie tych środków bezpieczeństwa znacznie zmniejszy ryzyko udanego ataku eskalacji uprawnień.