¿Qué es un ataque de tipo «pasa la memoria»?

Los sistemas modernos almacenan contraseñas en formato hash. Un atacante puede enviar los hashes robados de un sistema para autenticarse en aplicaciones privadas sin una contraseña de texto sin formato. Un ataque de tipo pass-the-hash (PtH) no exige que el valor hash se obligue de manera bruta al texto sin formato. En lugar de ello, un atacante utiliza la sesión actual de un usuario u obtiene hashes de la memoria, normalmente del malware.

¿Qué es Pass the Hash?

Cuando se crean contraseñas, el sistema operativo las almacena en la memoria usando hashes criptográficos seguros. La base de datos de hashes no debería ser accesible para los programas de usuario, pero el malware se ha creado para evitar la seguridad y extraer memoria para estas contraseñas. Una vez que un usuario se autentica, la contraseña puede almacenarse en la memoria para que el usuario pueda autenticarse en las aplicaciones a medida que trabajan en un equipo concreto.

Los ataques de tipo "pasa la memoria" obtienen hashes de usuario autenticados y los utilizan para acceder a datos o aplicaciones confidenciales en el contexto de la cuenta de usuario. Los ataques de PtH se hacen pasar esencialmente por el usuario y aprovechan protocolos de autorización como Kerberos, que se utilizan para crear tickets asignados a usuarios autorizados. Los tickets indican al sistema que permita el acceso, por lo que con un hash de usuario, un atacante —normalmente en forma de malware— también tiene acceso a la aplicación objetivo.

Cómo funcionan los ataques Pass-the-hash

Los atacantes primero tienen que obtener los hashs. Esto suele hacerse a través del malware. El malware puede entregarse a un destino mediante descargas drive-by o phishing, en los que los usuarios con altos privilegios tienen que instalarlo en su sistema. Lo ideal es que, para el atacante, un usuario con acceso de administrador al sistema instale el malware. Luego, el malware extrae la memoria de las cuentas de usuario activas y sus hashes.

Con los hashes, el malware realiza movimientos laterales por toda la red, haciéndose pasar por el usuario autenticado. La mayoría de los ataques de PtH funcionan con sistemas de inicio de sesión único (SSO), en los que las mismas credenciales de usuario autentican las cuentas en múltiples sistemas. El sistema objetivo puede validar las credenciales de usuario, pero los hashes robados resuelven este problema. Luego, el malware tiene acceso a cualquier sistema o dato como la cuenta de usuario correspondiente del hash robado.

Objetivos y vulnerabilidades comunes

Las máquinas Windows son los objetivos más comunes de los ataques de PtH. En Windows, New Technology LAN Manager (NTLM) es un protocolo de seguridad de Microsoft que se utiliza para autorizar a los usuarios en múltiples aplicaciones de red. El NTLM es vulnerable a los ataques de tipo pass-the-hash (PtH), porque almacena las contraseñas de usuario como hashes sin sal, que es una cadena aleatoria de caracteres añadidos a una contraseña para bloquear los ataques de fuerza bruta en la hash. Los atacantes pueden capturar fácilmente estos hash desde un sistema comprometido y utilizarlos para autenticarse como usuario sin necesidad de conocer la contraseña original, lo que les permite «pasar el hash» para acceder a otros sistemas y recursos sin necesidad de descifrar la propia contraseña. Esto hace que el NTLM sea el objetivo principal de los ataques de robo de credenciales.

NTLM sigue estando disponible para la compatibilidad con versiones anteriores de los sistemas operativos Windows antiguos, por lo que las nuevas versiones de un controlador de dominio pueden seguir siendo vulnerables a PtH. Cualquier sistema operativo y servicio de Windows es vulnerable a PtH si utiliza la compatibilidad retroactiva con NTLM. En 2022, los servidores de Microsoft Exchange se vieron afectados por un movimiento lateral después de que los servidores de Windows se vieran afectados por el malware y el PtH.

Impacto de los ataques de tipo «pasa la memoria»

Sin supervisión, software antimalware y detección de intrusiones, un ataque de PtH podría persistir durante meses. La autenticación en los sistemas laterales se realiza usando credenciales legítimas, por lo que el ataque pasa desapercibido si se realiza una sencilla supervisión de la autenticación y la autorización. El impacto total de PtH depende de la autorización de la hash.

Un hash robado de un usuario con un alto nivel de privilegios puede permitir el acceso a información confidencial y provocar una gran vulneración de los datos. El malware puede dar acceso remoto a un atacante al sistema local o puede robar datos y enviarlos a un servidor de terceros. Los datos robados pueden conllevar costosas multas de cumplimiento y litigios con costes adicionales de contención y erradicación del malware.

Estrategias de prevención y mitigación

Limitar a los usuarios solo a los datos y las aplicaciones necesarios para realizar su trabajo es el primer paso para reducir los daños causados por un ataque de PtH. Siguiendo el principio de privilegios mínimos, contiene malware y le impide acceder a todas las áreas del entorno. Los usuarios deben recibir formación para reconocer el phishing y el posible malware para reducir los incidentes causados por los correos electrónicos y los sitios web maliciosos. La segmentación y la estratificación de la arquitectura de red protegen los sistemas críticos de verse comprometidos por sistemas menos seguros.

Los sistemas de detección y supervisión de intrusiones son beneficiosos para identificar las posibles amenazas de PtH. Si el malware se instala en una máquina local, la detección de intrusiones identificará patrones de tráfico sospechosos. Además, si se desactiva el NTLM cuando no se necesita, algo de malware es ineficaz para robar los hashes.

Herramientas y tecnologías para la defensa

Windows tiene un par de herramientas internas para evitar un ataque de tipo pass-the-hash. Credential Guard aísla los hashes y pone barreras contra el malware y otros rascadores de memoria. Windows también tiene aplicaciones antimalware internas para identificar las amenazas conocidas y evitar que se instalen.

Microsoft ofrece la Solución de Contraseña de Administrador Local (LAPS) para forzar contraseñas únicas para los administradores. Los administradores que utilizan la misma contraseña en el entorno de red dejan todos los sistemas con la misma contraseña abierta a un riesgo después de que se roba una única tecla hash. La auditoría de las credenciales de usuario y Active Directory puede identificar cuentas con demasiados permisos y un posible acceso no autorizado.

Conclusión

La prevención de la inyección de malware es el primer paso para proteger su entorno de cualquier amenaza, incluida la PtH. Asegúrese de que sus usuarios son conscientes de los peligros del phishing y de que educan a los usuarios de alto privilegio sobre los peligros de descargar software de fuentes desconocidas. Evite usar NTLM si trabaja con Windows, pero asegúrese de instalar software antimalware para evitar que el malware de PtH robe datos en caso de que los atacantes omitan la seguridad.

Si su entorno sufre un ataque de PtH, Pure Storage tiene soluciones de recuperación y resiliencia que le ayudarán con la recuperación de los datos. Obtenga más información sobre las copias instantáneas de SafeMode™ y cómo pueden ayudarle a mitigar los riesgos.