当应用程序获得不应对其提供的权限或特权时,会发生特权提升。 许多特权提升攻击都类似于针对其他威胁的漏洞。 例如,巧妙地尝试编写可执行代码的缓冲区溢出攻击。 当从堆栈中将缓冲区作为局部变量分配时,这适用于基于 x86 的体系结构。 堆栈还包含当前过程调用的返回地址。 如果恶意开发人员确定存在缓冲区溢出的可能性,则可以将数据置于缓冲区中,以便覆盖返回地址。 当 CPU 执行“ret”指令以返回到上一个调用方时,它将控制权返回给恶意开发人员指定的位置,而不是真正的调用方。
对于文件系统和文件系统筛选器驱动程序,由于以下原因的组合,发生特权提升攻击的可能性相当高:
文件系统和文件系统筛选器驱动程序积极参与管理对数据的访问,包括特权。
文件系统和文件系统筛选器驱动程序利用特殊特权和访问权限来实现其功能。
许多操作系统特权与 seChangeNotifyPrivilege (文件系统直接相关,后者控制遍历目录的能力,例如) 。
这种类型的攻击对于实现文件系统的用户最为重要。 对于主动管理数据存储 (加密筛选器的文件系统筛选器驱动程序而言,此攻击可能是一个问题,例如,) 可能会绕过或绕过正常的文件系统安全操作。