De privilege-escalation-ladder: hoe een aanvaller trapsgewijs klimt van phishing-klik naar volledige werkplek-overname — en welke configuratie elke sport breekt.
Een phishing-mail wordt geopend. De werkplek valt niet meteen om. Een aanvaller klimt trapsgewijs — van page-load naar gesture, naar permission, naar AsInvoker, naar admin. Vijf niveaus, geen magie, gewoon misconfig die we de afgelopen weken op elke geteste Win11-werkplek terugzagen.
In WinRunElevated v0.5.0 "Ladder" zit een nieuwe PrivEscProbe-module die read-only test welke sporten van die ladder op uw endpoint nog overeind staan. Tien detect-only categorieen (P1–P10), mapping op MITRE ATT&CK T1548/T1068/T1078. Geen exploitation. Alleen meten.
Elke sport heeft een eigen mitigatie. Wie sport 1 breekt, voorkomt sport 2. Wie sport 4 breekt, voorkomt sport 5. Defense in depth is niet retoriek — het is meetbaar per sport.
Kwetsbaarheid: via Sec-CH-UA-Platform-Version + WebGL + fonts leakt exact build 26100.1234, GPU-driver-versie en de hint dat Office aanwezig is.
Mitigatie: Edge MDM EnableClientHints=Disabled, WebRtcLocalhostIpHandling=disable_non_proxied_udp, WebGLEnabled=Disabled.
Governance: elke recon-vector hoort in een endpoint-baseline die als policy uitrolbaar is — NEN 7510 art. 12.6, ISO 27001 A.8.9.
Kwetsbaarheid: search-ms: opent attacker-SMB als lokale folder; .hta draait via mshta.exe als Local System Object Model; clipboard-write plant shell-commando voor paste-jacking.
Mitigatie: URLBlocklist=search-ms:*,wt:*,ms-msdt:* + AppLocker block op mshta.exe + WebClient-service disabled + DefaultClipboardSetting=2.
Governance: protocol-handlers horen in een goedkeuringsproces, niet in een open standaardconfiguratie — NIS2 art. 21 lid 2 onder e (cyberhygiene).
Kwetsbaarheid: File System Access → write naar %APPDATA%\Microsoft\Word\STARTUP\ → Office-add-in die elke keer Word start automatisch wordt geladen. Geen admin nodig, geen UAC-prompt.
Mitigatie: DefaultFileSystemWriteGuardSetting=2, DefaultClipboardSetting=2, DefaultNotificationsSetting=2 — allemaal default-block via Edge MDM.
Governance: wat de browser mag schrijven hoort op het niveau van een DPIA bekeken te worden, niet als technisch detail — AVG art. 25 (privacy by design).
Op deze sport triggeren drie PrivEscProbe-detecties:
P1 — fodhelper HKCU-hijack P3 — DLL-side-loading P9 — HKCU\Classes\CLSID COM-hijack
Kwetsbaarheid: fodhelper.exe is een auto-elevate binary die HKCU-keys raadpleegt — als de standaard-user die key kan schrijven, draait een willekeurig commando als admin zonder UAC-prompt. Gedocumenteerd sinds 2017. Werkt op 80% van default-Win11 werkplekken.
Mitigatie: UAC op AlwaysNotify + AppLocker DLL-rules + ASR-regel "Block process creations originating from PSExec/WMI" + Sysmon EID 13 baseline op HKCU-key-writes.
Governance: de UAC-instelling is geen technische voorkeur maar een organisatie-besluit met meetbaar risicogewicht — ISO 27001 A.8.5 (secure authentication).
Vijf PrivEscProbe-detecties komen samen:
P2 — AlwaysInstallElevated P4 — SeImpersonate (Potato) P5 — BYOVD P6 — unquoted/writable services P10 — ongepatchte kernel-CVE
Kwetsbaarheid: één verkeerd gezette GPO (AlwaysInstallElevated=1 in HKLM én HKCU) maakt elke MSI tot SYSTEM-executie. Één service met een spatie in een unquoted path = SYSTEM-binary kapen. Één ontbrekende kernel-patch = ring-0 toegang.
Mitigatie: HVCI ingeschakeld (default Win11 22H2+), LSA Protection actief, Defender Credential Guard aan, Tamper Protection aan, vulnerable-driver-blocklist actief, en bovenal een patch-SLA van 7 dagen voor kritieke CVE's.
Governance: de stap van AsInvoker naar SYSTEM is het verschil tussen incident en datalek — en daarmee tussen melden en niet-melden onder NIS2 art. 23 / AVG art. 33.
Uit het MAX_IMPACT_REPORT dat sinds v0.4.0 in WinRunElevated zit (gebaseerd op realistische default-configuraties én een volledige Microsoft 365 E5 + ASR + AppLocker stack):
| Sport 1 — Recon | 100% → 60% (fingerprint gedeeltelijk geblokt) |
| Sport 2 — Click | 90% → 30% (URL-handlers + clipboard geblokt) |
| Sport 3 — Permission | 50% → 10% (defaults op block) |
| Sport 4 — AsInvoker | 80% → 20% (AppLocker + ASR breken meeste payloads) |
| Sport 5 — SYSTEM | 30–50% → <5% (UAC AlwaysNotify + HVCI + LSA Protection) |
Het verschil zit niet in betere AV. Het zit in configuratie-discipline — consequent uitgerold via Intune of GPO, gemeten via een baseline-test, geborgd via governance.
Voor SOC-tooling en SIEM-rules — elke sport mapt op een ATT&CK-techniek die in de meeste EDR's detecteerbaar is:
| T1548.002 | P1 fodhelper / P9 COM-hijack — UAC bypass via auto-elevate binaries |
| T1548.005 | P2 AlwaysInstallElevated — Privileged installer-misuse |
| T1574.002 | P3 DLL Side-Loading — in auto-elevate binary search path |
| T1134.002 | P4 SeImpersonate — Potato-family token impersonation |
| T1068 | P5 BYOVD / P10 kernel-CVE — Exploitation for Privilege Escalation |
| T1574.009 | P6 Unquoted service paths — Path Interception |
| T1555.004 | P7 Stored credentials — Windows Credential Manager |
| T1053.005 / T1078 | P8 SYSTEM-scheduled-tasks met user-pad — Scheduled Task + valid accounts |
PrivEscProbe.cs rapporteert read-only welke sporten van de ladder open staan: HKCU-write-test voor P1 (met automatische cleanup), registry-read voor P2, whoami /priv-parse voor P4, WMI-query voor P5/P10, ACL-walk voor P6. Geen exploitation — alleen meten.
UAC AlwaysNotify + AppLocker met allowlist + HVCI + LSA Protection + Defender Credential Guard + ASR-baseline + 7-daagse patch-SLA. Allemaal in een M365 E3/E5-licentie inbegrepen — geen aanvullende inkoop nodig, alleen configuratie.
Tier-0/1/2-segmentatie in AD, just-in-time admin-access, periodieke baseline-meting via WPB-test als onderdeel van de ISMS-cyclus. Mapping naar NEN 7510 art. 9 en 12, NIS2 art. 21, ISO 27001 A.8.5/A.8.9/A.8.19.
P1 (fodhelper) is gedocumenteerd sinds 2017. P2 (AlwaysInstallElevated) sinds 2015. P4 (Potato-family) sinds 2016. Geen van deze paden is "nieuw". Dat ze in 2026 nog steeds op de meerderheid van werkplekken werken, is geen technisch falen.
Het is een governance-falen. Niemand heeft de werkplek-baseline expliciet vastgesteld, geen team controleert dat de baseline na een image-update nog klopt, en geen audit toetst de configuratie tegen een referentie.
De fix is geen nieuw product. De fix is:
Dit is de afsluiting van de WPB-serie. Vier posts, één test, één boodschap — samen het volledige werkplek-beveiligings-landschap:
__COMPAT_LAYER: drie regels code overslaan de UAC-prompt. ArtikelElke post hangt aan dezelfde gratis test op icthorse.nl/wpb-test/ — nu uitgebreid met de PrivEscProbe-module van v0.5.0 "Ladder".
Een aanvaller hoeft geen geweldige exploit-developer te zijn. De sporten van de ladder liggen al jaren klaar.
Het verschil tussen een werkplek die houdt en een werkplek die valt, is welke sporten u expliciet hebt gebroken.
Christian Glebbeek — iCt Horse
Connecting the dots
Doe de gratis test (read-only, geen registratie): icthorse.nl/wpb-test/
Diensten en governance-trajecten: icthorse.nl/diensten.html