Escalada de Privilégios Explicada: Guia Linux e Windows (2026)

Penetration Testing
17 min de leitura
Escalada de Privilégios Explicada: Guia Linux e Windows (2026)
Nesta página
  1. O que é escalada de privilégios?
  2. Escalada horizontal vs. vertical
    1. Escalada vertical
    2. Escalada horizontal
  3. Como funcionam os ataques de escalada de privilégios
  4. Técnicas de escalada de privilégios no Linux
    1. Binários SUID e SGID
    2. Configurações incorretas de sudo
    3. Sequestro de tarefas cron
    4. Sequestro de PATH
    5. Exploits de kernel
  5. Técnicas de escalada de privilégios no Windows
    1. Caminhos de serviço sem aspas
    2. Permissões de serviço fracas
    3. AlwaysInstallElevated
    4. Personificação de token
  6. Linux vs. Windows: referência rápida
  7. Vulnerabilidades reais de escalada de privilégios
  8. Como prevenir a escalada de privilégios
  9. Considerações legais e éticas
  10. Perguntas frequentes
  11. Seus próximos passos

Escalada de privilégios é a etapa presente em quase toda invasão real em que um atacante transforma um ponto de apoio de baixo valor em controle total de uma máquina. Você chega em uma máquina como um usuário web pouco privilegiado ou uma conta de serviço, e o objetivo real, seja root em um servidor Linux ou SYSTEM em um host Windows, está escondido atrás de uma configuração incorreta que ainda falta encontrar e explorar. Este guia explica como funciona a escalada de privilégios em Linux e Windows, as técnicas concretas usadas hoje pelos atacantes, e como os defensores fecham essas brechas. Pratique toda a cadeia você mesmo no curso Network Penetration Testing da HackerDNA, que percorre desde o acesso inicial até a escalada de privilégios em pós-exploração em hosts reais vulneráveis.

Este guia é escrito para quem já tem um shell e quer saber o que fazer a seguir, não para um público de compliance que só precisa de uma definição. Cada técnica abaixo pode ser executada hoje mesmo contra um alvo intencionalmente vulnerável, e cada controle de prevenção pode ser aplicado por um administrador de sistema ainda hoje à tarde.

Resumo: escalada de privilégios é o processo de obter acesso de nível mais alto do que uma conta ou processo recebeu originalmente, passando de um ponto de apoio de baixo privilégio para admin, root ou SYSTEM. No Linux, os caminhos giram em torno de binários SUID, configurações incorretas de sudo, tarefas cron e exploits de kernel; no Windows, giram em torno de serviços mal configurados, permissões de arquivo fracas e personificação de tokens. Os atacantes automatizam a descoberta com ferramentas como LinPEAS e WinPEAS, e depois confirmam a exploração manualmente. Os defensores fecham esses caminhos com privilégio mínimo, um ritmo real de correções e revisão de configuração, não com uma única ferramenta milagrosa.

O que é escalada de privilégios?

O que é escalada de privilégios? Escalada de privilégios é obter acesso a recursos ou capacidades que uma conta de usuário, aplicação ou processo não recebeu originalmente, normalmente passando de um contexto restrito para um contexto administrativo. Em um ataque, é a etapa entre "eu tenho algum acesso" e "eu tenho o acesso que realmente quero".

Quase nenhuma invasão começa com root. Um atacante entra por meio de uma credencial obtida por phishing, uma aplicação web vulnerável ou um serviço exposto, e esse acesso inicial quase sempre vem com permissões limitadas: uma conta de servidor web pouco privilegiada, um usuário de domínio padrão, uma conta de serviço restrita a uma única tarefa. A escalada de privilégios é o que transforma esse ponto de apoio estreito em controle da máquina, e frequentemente em controle de toda a rede, uma vez que esse acesso permite movimento lateral.

O MITRE ATT&CK trata isso como uma tática própria, TA0004, com dezenas de técnicas documentadas mapeadas nela, o que reflete o quanto essa etapa é central em quase toda cadeia real de invasão. Em um trabalho profissional, ela costuma acontecer durante a fase de pós-exploração da metodologia de teste de invasão, logo após o acesso inicial e antes do movimento lateral ou da conclusão do objetivo.

Escalada horizontal vs. vertical

A escalada de privilégios se divide em duas direções, e a distinção importa porque cada uma explora uma classe diferente de falha.

Escalada vertical

Escalada vertical é subir na hierarquia de privilégios, de um usuário padrão para administrador, de uma conta de aplicação web para root, ou de um usuário de domínio para Domain Admin. É o que a maioria das pessoas quer dizer com "privesc", e é o foco deste guia. Um usuário pouco privilegiado que explora um binário SUID para obter um shell root é um exemplo clássico de escalada vertical.

Escalada horizontal

Escalada horizontal é obter acesso a uma conta diferente no mesmo nível de privilégio, não em um nível superior. Um cliente que edita o parâmetro de URL da própria fatura para visualizar a fatura de outro cliente realizou uma escalada horizontal: continua com um papel de usuário comum, apenas com dados de outra pessoa. Isso se sobrepõe bastante ao controle de acesso quebrado e às falhas de Insecure Direct Object Reference no lado web, enquanto a escalada vertical vive mais no sistema operacional, na configuração de serviços e no kernel.

Como funcionam os ataques de escalada de privilégios

Assim que um atacante tem qualquer shell, o processo segue um padrão previsível independente do sistema operacional: enumerar a máquina, procurar uma configuração incorreta ou vulnerabilidade específica, explorá-la e confirmar o novo nível de privilégio.

Os atacantes raramente enumeram todo um sistema de arquivos manualmente hoje em dia. Eles rodam um script automatizado como o LinPEAS no Linux ou o WinPEAS no Windows, que verifica a máquina contra uma longa lista de configurações incorretas conhecidas em poucos minutos e destaca o que encontra em uma saída colorida. Esses scripts não exploram nada sozinhos. Eles apontam a porta; ainda é preciso abri-la.

Na prática, em uma máquina de CTF recém-comprometida ou em um alvo de projeto real, rodar o LinPEAS é um dos três primeiros comandos digitados depois de conseguir um shell. Raramente ele entrega a resposta de bandeja, mas indica exatamente onde procurar em seguida, seja um script de cron gravável, um binário SUID que não deveria estar ali, ou uma versão de kernel com exploit público.

  1. Estabeleça o ponto de partida. Confirme o usuário atual, seus grupos e quaisquer permissões de sudo ou capabilities já concedidas antes de mexer em qualquer coisa.
  2. Rode a enumeração automatizada. LinPEAS ou WinPEAS revela as configurações incorretas óbvias em minutos e indica onde concentrar o esforço manual.
  3. Investigue manualmente os achados sinalizados. Confirme que cada caminho candidato realmente funciona antes de se comprometer com ele, já que as ferramentas automatizadas sinalizam possibilidades, não garantias.
  4. Explore e verifique. Execute a escalada e confirme o novo nível de privilégio com id ou whoami /priv antes de continuar.

Técnicas de escalada de privilégios no Linux

A escalada de privilégios no Linux quase sempre remete a uma entre um punhado de categorias de configuração incorreta. Aprenda essas cinco e você conseguirá resolver a maioria dos hosts Linux vulneráveis que encontrar em labs ou em projetos reais.

Binários SUID e SGID

Um binário com o bit SUID marcado é executado com as permissões do seu proprietário, não do usuário que o executa. Encontre todos os binários SUID da máquina com find / -perm -4000 -type f 2>/dev/null. A maioria dos resultados são binários de sistema legítimos como o passwd, mas qualquer entrada inesperada, ou um binário legítimo com capacidades perigosas, vale a pena verificar.

Ao encontrar um binário SUID desconhecido, verifique-o no GTFOBins, um projeto que documenta como binários Unix comuns podem ser abusados para contornar restrições de segurança locais. Se o binário SUID encontrado aparecer lá, o GTFOBins fornece o comando exato para abrir um shell root. Um exemplo clássico: se o próprio find tiver o bit SUID marcado, find . -exec /bin/sh -p \; -quit entrega um shell root diretamente, porque o find executa o comando com seus próprios privilégios elevados.

💻
Pratique agora: o SUID Privilege Hunter te coloca em um alvo Linux real e pede para encontrar e explorar um binário SUID vulnerável para virar root, usando exatamente o fluxo de enumeração e GTFOBins desta seção. Direto no navegador, sem instalação, gratuito para começar.

Configurações incorretas de sudo

Rode sudo -l para ver o que o usuário atual pode executar como root sem senha. Uma linha como (ALL) NOPASSWD: /usr/bin/vim parece inofensiva até você verificar o vim no GTFOBins e descobrir que vim -c ':!/bin/sh' escapa direto para um shell root, porque o vim herda a permissão de sudo e pode iniciar qualquer processo. Toda regra de sudo para um interpretador, editor ou gerenciador de arquivos merece essa verificação antes de ser considerada segura.

Sequestro de tarefas cron

Tarefas cron que rodam como root mas chamam um script gravável pelo usuário atual são um caminho direto para root. Verifique /etc/crontab e /etc/cron.d/ em busca de tarefas, e depois verifique as permissões do script ou binário que cada uma chama. Se uma tarefa cron pertencente ao root executa /opt/backup.sh e esse arquivo é gravável por qualquer usuário, basta acrescentar uma linha de reverse shell a esse arquivo e esperar a próxima execução agendada. Pratique exatamente esse cenário no lab Cronpocalypse, construído em torno de uma configuração de cron vulnerável.

Sequestro de PATH

Quando um script ou tarefa cron pertencente ao root chama um binário sem o caminho completo, como tar em vez de /bin/tar, o shell resolve isso procurando nos diretórios listados em $PATH, na ordem. Se um diretório gravável pelo atacante estiver mais cedo nessa ordem de busca, ou for colocado no início do $PATH, um binário malicioso com o mesmo nome é executado no lugar do real, herdando o privilégio do script que o chamou.

Exploits de kernel

Quando a enumeração não revela mais nada, a própria versão do kernel vira o último recurso. Dirty COW (CVE-2016-5195) é o exemplo mais conhecido, uma condição de corrida no tratamento de mapeamento de memória copy-on-write do kernel que permitia que qualquer usuário local escrevesse em arquivos mapeados em memória marcados como somente leitura, incluindo binários pertencentes ao root. Exploits de kernel funcionam de forma confiável contra sistemas sem correção, mas trazem risco real de travar o alvo, então são uma opção de último recurso em projetos, e algo a evitar totalmente sem autorização explícita para causar instabilidade.

Técnicas de escalada de privilégios no Windows

A escalada no Windows depende menos de um único bit de permissão e mais da configuração de serviços, permissões de arquivo, e de como o Windows resolve caminhos e tokens. As técnicas principais abaixo cobrem a maioria dos hosts Windows vulneráveis.

Caminhos de serviço sem aspas

Quando o caminho do executável de um serviço Windows contém espaços e não está entre aspas, como C:\Program Files\My App\service.exe, o Windows tenta cada segmento delimitado por espaço como um executável possível, na ordem: C:\Program.exe, depois C:\Program Files\My.exe, antes de finalmente tentar o caminho completo pretendido. Se um atacante conseguir escrever em algum desses diretórios pais, colocar um Program.exe malicioso faz com que ele seja executado com os privilégios do serviço, muitas vezes SYSTEM, na próxima vez que o serviço reiniciar.

Permissões de serviço fracas

Mesmo com um caminho corretamente entre aspas, se o usuário atual tiver acesso de escrita ao binário do serviço ou à sua configuração no registro, substituir o executável ou redirecionar o ImagePath para um binário malicioso alcança o mesmo resultado. Ferramentas como accesschk ou WinPEAS enumeram exatamente quais serviços um determinado usuário pode modificar.

AlwaysInstallElevated

Quando duas chaves de registro, HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated e sua equivalente em HKCU, estão ambas definidas como 1, qualquer usuário pode instalar um pacote MSI com privilégios SYSTEM, independentemente do seu próprio nível de permissão. Um atacante monta um MSI malicioso com msfvenom, roda msiexec /quiet /qn /i malicious.msi, e ganha um shell SYSTEM. Nosso guia rápido de msfvenom cobre a construção de payloads como esse.

Personificação de token

Contas de serviço frequentemente têm o direito SeImpersonatePrivilege, que permite que um processo personifique o token de segurança de outro usuário que se conecta a ele. Ferramentas construídas em torno dessa técnica, comumente chamadas de ataques Potato, enganam um serviço de nível SYSTEM para se autenticar em um listener controlado pelo atacante, e depois reutilizam esse token capturado para abrir um processo SYSTEM. É um dos caminhos de escalada mais confiáveis contra serviços Windows modernos e bem corrigidos, justamente por abusar de um recurso pretendido em vez de um bug.

Linux vs. Windows: referência rápida

Os dois sistemas falham de formas diferentes. A escalada no Linux costuma girar em torno de permissões de arquivo e scripts interpretados; a escalada no Windows costuma girar em torno da configuração de serviços e do tratamento de tokens. Use esta tabela para ir direto ao vetor mais provável no seu alvo.

VetorLinuxWindows
Execução privilegiadaBinários SUID / SGIDCaminhos de serviço sem aspas, ACLs de serviço fracas
Abuso de comando confiávelConfigurações incorretas de sudo + GTFOBinsAlwaysInstallElevated + LOLBAS
Abuso de tarefa agendadaTarefas cron graváveisTarefas agendadas graváveis
Abuso de ordem de buscaSequestro de PATHSequestro de DLL
Abuso de identidadeChaves SSH reutilizadas, credenciais armazenadasPersonificação de token (ataques Potato)
Último recursoExploits de kernel (ex.: Dirty COW)Exploits de kernel, drivers sem correção
Enumeração automatizadaLinPEASWinPEAS

Vulnerabilidades reais de escalada de privilégios

Essas não são apenas técnicas de laboratório. Cada uma das seguintes ficou em software de produção por anos antes de ser descoberta e foi ativamente explorada assim que se tornou pública.

PwnKit (CVE-2021-4034) ficou sem ser descoberta no utilitário pkexec do Polkit por mais de doze anos antes de a Qualys divulgá-la em janeiro de 2022. Ela funcionava de imediato, sem nenhuma configuração especial, em instalações padrão de Ubuntu, Debian, Fedora e CentOS, permitindo que qualquer usuário local chegasse a root com um único binário especialmente criado.

Dirty COW (CVE-2016-5195) explorava uma condição de corrida em como o kernel Linux tratava mapeamentos de memória copy-on-write, permitindo que um usuário local sem privilégios escrevesse em arquivos mapeados em memória marcados como somente leitura. Ela afetava praticamente toda versão de kernel Linux em uso na época e esteve presente no kernel por nove anos antes de uma correção ser lançada.

PrintNightmare (CVE-2021-34527) tinha como alvo o serviço Windows Print Spooler, que roda como SYSTEM e vem habilitado por padrão na maioria das instalações Windows. Uma falha na validação de solicitações de instalação de driver permitia que um usuário autenticado instalasse um driver de impressora malicioso e executasse código como SYSTEM. A Cybersecurity and Infrastructure Security Agency emitiu uma diretiva de emergência sobre isso, uma medida rara reservada para vulnerabilidades sob exploração ativa e generalizada; leia o comunicado completo no site da CISA.

Como prevenir a escalada de privilégios

Como prevenir a escalada de privilégios? Nenhum controle único a impede. Prevenção é uma pilha de higiene de configuração e monitoramento que remove as configurações incorretas específicas nas quais os atacantes se apoiam.

  • Aplique o privilégio mínimo. Contas de serviço e usuários de aplicação devem ter apenas as permissões que sua função exige, nada a mais "só por precaução".
  • Audite regularmente binários SUID e regras do sudoers. Remova o bit SUID de tudo que não precisa dele, e nunca conceda acesso sudo NOPASSWD a um interpretador, editor ou binário capaz de abrir um shell.
  • Corrija em um ritmo real. PwnKit e Dirty COW eram ambos corrigíveis com uma atualização. A maioria das escaladas bem-sucedidas em nível de kernel acontece em sistemas que já estavam meses atrasados nas correções.
  • Coloque aspas em todo caminho de serviço que contenha espaços, e restrinja o acesso de escrita aos binários de serviço e seus diretórios pais.
  • Desative o AlwaysInstallElevated a menos que haja um motivo de negócio específico e documentado, e verifique isso em qualquer revisão de hardening do Windows.
  • Monitore padrões de abuso conhecidos. Produtos de EDR podem sinalizar abusos no estilo GTFOBins e tentativas de personificação de token no estilo Potato, mas só se estiverem ajustados para observar especificamente isso.

Ao testar aplicações e hosts reais, a forma mais rápida de encontrar essas brechas antes de um atacante é rodar a mesma enumeração que um atacante rodaria: LinPEAS ou WinPEAS, uma auditoria de sudoers e uma verificação de permissões de serviço, em um cronograma regular, não apenas uma vez na implantação.

💻
Pratique agora: o curso Network Penetration Testing cobre toda a cadeia, do acesso inicial até a escalada de privilégios em pós-exploração em hosts reais vulneráveis, direto no navegador, sem VPN ou instalação local.

Perguntas frequentes

O que é escalada de privilégios em segurança cibernética?

Escalada de privilégios é a técnica que atacantes usam para obter acesso de nível mais alto do que uma conta ou processo recebeu originalmente, passando de um ponto de apoio limitado para privilégios de administrador, root ou SYSTEM. É uma tática distinta no framework MITRE ATT&CK e uma etapa presente em quase toda invasão séria, já que o acesso inicial raramente chega com controle total já embutido.

Qual é a diferença entre escalada horizontal e vertical?

A escalada vertical leva um usuário a um nível de permissão mais alto, como uma conta padrão ganhando acesso root ou de administrador. A escalada horizontal ganha acesso a uma conta diferente no mesmo nível de permissão, como visualizar dados de outro cliente enquanto continua sendo um usuário comum. A escalada vertical costuma explorar falhas de sistema operacional e configuração, enquanto a escalada horizontal costuma explorar controle de acesso quebrado na camada de aplicação.

Quais ferramentas os atacantes usam para escalada de privilégios?

LinPEAS e WinPEAS automatizam a enumeração no Linux e no Windows, buscando configurações incorretas conhecidas e sinalizando caminhos de escalada prováveis. GTFOBins e LOLBAS catalogam binários específicos que podem ser abusados para escalada assim que encontrados. Os atacantes então confirmam e exploram manualmente o caminho sinalizado, já que essas ferramentas identificam candidatos em vez de executar o exploit sozinhas.

Escalada de privilégios é ilegal?

Realizar escalada de privilégios em um sistema que você não possui, ou sem autorização explícita por escrito do proprietário, é ilegal na maioria das jurisdições, inclusive sob o Computer Fraud and Abuse Act dos EUA e o Computer Misuse Act do Reino Unido. É legal apenas dentro do escopo autorizado de um bug bounty, de um projeto de teste de invasão assinado, ou de um ambiente de laboratório isolado construído para prática.

Como posso praticar escalada de privilégios legalmente?

Use plataformas de laboratório intencionalmente vulneráveis e desafios de CTF construídos para esse fim, participe de programas de bug bounty dentro do escopo publicado, ou trabalhe sob autorização assinada durante um projeto remunerado de teste de invasão. Os labs da HackerDNA direto no navegador, incluindo o SUID Privilege Hunter, oferecem alvos reais vulneráveis sem nenhum risco legal ou instalação local.

Qual é a vulnerabilidade de escalada de privilégios mais comum?

No Linux, regras de sudo mal configuradas e binários SUID exploráveis são os caminhos mais frequentemente encontrados em projetos reais e CTFs, em grande parte porque não exigem habilidade em corrupção de memória, apenas enumeração cuidadosa. No Windows, caminhos de serviço sem aspas e permissões de serviço fracas são os vetores mais acessíveis para iniciantes, enquanto a personificação de token domina contra alvos mais robustos e bem corrigidos.

Seus próximos passos

Ler sobre binários SUID e caminhos de serviço sem aspas dá o vocabulário. Reconhecer uma regra de sudo vulnerável ou um script de cron gravável em uma máquina real, sob pressão de tempo, com um documento de escopo no outro monitor, exige repetição contra alvos reais.

Comece pelo lab SUID Privilege Hunter para praticar o caminho de escalada Linux mais comum na prática, depois percorra toda a cadeia de ataque, do ponto de apoio até root, no curso Network Penetration Testing da HackerDNA. Se quiser ver primeiro a etapa de enumeração automatizada, nosso guia do LinPEAS detalha como rodá-lo e interpretá-lo.

O plano gratuito da HackerDNA oferece labs direto no navegador, sem cartão de crédito e sem instalação local. Consiga um shell, depois vá encontrar o caminho até o topo.

Última revisão: julho de 2026.

HackerDNA Team

Equipe HackerDNA

Escrito pela equipe HackerDNA - profissionais de cibersegurança que criam labs práticos de hacking e conteúdo educativo para ajudar você a desenvolver habilidades reais em segurança.

Conhecer a Equipe

Pronto para colocar isso em prática?

Pare de ler, comece a hackear. Ganhe experiência prática com mais de 170 labs de cibersegurança reais.

Comece a Hackear Grátis
15.000+ Hackers 100+ Labs & Cursos Grátis
Comece Grátis