O que é um ataque "pass-the-hash"?

Os sistemas modernos armazenam senhas em formato hash. Um invasor pode enviar hashes roubados do sistema para autenticação em aplicativos privados sem uma senha de texto simples. Um ataque pass-the-hash (PtH, pass-the-hash) não exige força bruta do valor do hash para texto simples. Em vez disso, um invasor usa a sessão atual de um usuário ou obtém hashes da memória, geralmente do malware.

O que é Pass the Hash?

Quando senhas são criadas, o sistema operacional as armazena na memória usando hashes criptograficamente seguros. O banco de dados de hashes não deve ser acessível aos programas do usuário, mas o malware é criado para contornar a segurança e descartar a memória dessas senhas. Depois que um usuário faz a autenticação, a senha pode ser armazenada na memória para que o usuário possa fazer a autenticação em aplicativos enquanto trabalha em uma máquina específica.

Os ataques pass-the-hash obtêm hashes de usuário autenticados e os usam para obter acesso a dados ou aplicativos confidenciais no contexto da conta do usuário. Os ataques de PtH essencialmente se passam pelo usuário e aproveitam os protocolos de autorização, como o Kerberos, que são usados para criar tíquetes atribuídos a usuários autorizados. Os tickets dizem ao sistema para permitir acesso, por isso, com um hash do usuário, um invasor, normalmente na forma de malware, também tem acesso ao aplicativo visado.

Como os ataques "pass-the-hash" funcionam

Os invasores primeiro precisam obter hashes. Isso geralmente é feito por meio de malware. O malware pode ser entregue a um destino usando downloads drive-by ou phishing, onde usuários de alto privilégio são enganados para instalá-lo em seu sistema. Idealmente, para o invasor, um usuário com acesso de administrador ao sistema instala o malware. Em seguida, o malware extrai a memória para contas de usuário ativas e seus hashes.

Com hashes, o malware faz movimentações laterais na rede, se passando pelo usuário autenticado. A maioria dos ataques de PtH funciona com sistemas de logon único (SSO, Single Sign-On) em que as mesmas credenciais de usuário autenticam contas em vários sistemas. O sistema visado pode validar credenciais de usuário, mas os hashes roubados resolvem esse problema. Em seguida, o malware tem acesso a qualquer sistema ou dados como conta de usuário correspondente do hash roubado.

Metas e vulnerabilidades comuns

As máquinas Windows são os alvos mais comuns para ataques de PtH. No Windows, o New Technology LAN Manager (NTLM) é um protocolo de segurança da Microsoft usado para autorizar usuários em vários aplicativos de rede. O NTLM é vulnerável a ataques pass-the-hash (PtH, pass-the-hash), pois armazena senhas de usuários como hashes sem sal, que é uma sequência aleatória de caracteres adicionada a uma senha para bloquear ataques de força bruta no hash. Os invasores podem capturar facilmente esses hashs de um sistema comprometido e usá-los para autenticar como usuário sem precisar saber a senha original, permitindo que eles "passem o hash" para acessar outros sistemas e recursos sem precisar decifrar a senha em si. Isso faz do NTLM um destino principal para ataques de roubo de credenciais

O NTLM ainda está disponível para compatibilidade com versões anteriores em sistemas operacionais Windows mais antigos, portanto, novas versões de um controlador de domínio ainda podem ser vulneráveis a PtH. Qualquer sistema operacional e serviço Windows é vulnerável a PtH se usar compatibilidade reversa com NTLM. Em 2022, os servidores Microsoft Exchange foram comprometidos usando uma movimentação lateral depois que os servidores Windows foram comprometidos por malware e PtH.

Impacto dos ataques "pass-the-hash"

Sem monitoramento, software antimalware e detecção de intrusão, um ataque de PtH pode persistir por meses. A autenticação em sistemas laterais é realizada usando credenciais legítimas, para que o ataque passe despercebido se o monitoramento simples de autenticação e autorização estiver em vigor. O impacto total do PtH depende da autorização do hash.

Um hash roubado de um usuário de alto privilégio pode conceder acesso a informações confidenciais e resultar em uma grande violação de dados. O malware pode dar acesso remoto ao sistema local a um invasor ou pode roubar dados e enviá-los para um servidor de terceiros. Dados roubados podem levar a multas caras de conformidade e litígios com custos adicionais na contenção e erradicação do malware.

Estratégias de prevenção e mitigação

Limitar os usuários apenas aos dados e aplicativos necessários para realizar seu trabalho é o primeiro passo para reduzir os danos de um ataque de PtH. Seguir o princípio do menor privilégio contém malware e impede que ele acesse todas as áreas do ambiente. Os usuários devem ser treinados para reconhecer phishing e malware potencial para reduzir incidentes decorrentes de e-mails e sites maliciosos. A arquitetura de rede segmentada e em camadas protege sistemas críticos contra o comprometimento por sistemas menos seguros.

Os sistemas de detecção e monitoramento de intrusão são benéficos para identificar ameaças potenciais de PtH. Se o malware for instalado em uma máquina local, a detecção de invasão identificará padrões de tráfego suspeitos. Além disso, desabilitar o NTLM quando não é necessário torna algum malware ineficaz para roubar hashes.

Ferramentas e tecnologias para defesa

O Windows tem algumas ferramentas internas para evitar um ataque pass-the-hash. O Credential Guard isola hashes e coloca barreiras contra malware e outros scrapers de memória. O Windows também tem aplicativos internos antimalware para identificar ameaças conhecidas e impedi-las de instalar.

A Microsoft oferece a Solução de Senha de Administrador Local (LAPS, Local Administrator Password Solution) para forçar senhas exclusivas para administradores. Os administradores que usam a mesma senha em todo o ambiente de rede deixam todos os sistemas com a mesma senha aberta a um comprometimento após um único hash ser roubado. A auditoria de credenciais de usuário e do Active Directory pode identificar contas com muitas permissões e possível acesso não autorizado.

Conclusão

A prevenção da injeção de malware é o primeiro passo para proteger seu ambiente contra qualquer ameaça, incluindo PtH. Garanta que seus usuários estejam cientes dos perigos de phishing e instrua usuários de alto privilégio sobre os perigos de baixar software de fontes desconhecidas. Evite usar NTLM se você trabalhar com Windows, mas não se esqueça de instalar software antimalware para impedir que malware PtH roube dados caso os invasores ignorem a segurança.

Se seu ambiente sofrer um ataque de PtH, a Pure Storage tem soluções de recuperação e resiliência para ajudar na recuperação de dados. Saiba mais sobre os snapshots do SafeMode e como eles podem ajudar a reduzir os riscos.