Che cos'è un attacco "pass-the-hash"?

I sistemi moderni memorizzano le password in formato hash. Un utente malintenzionato può inviare un hash rubato dal sistema per l'autenticazione in applicazioni private senza una password di testo normale. Un attacco "pass-the-hash" (PtH) non richiede una forza bruta che forza il valore hash al testo normale. Invece, un utente malintenzionato utilizza la sessione corrente di un utente o ottiene hash dalla memoria, di solito dal malware.

Che cos'è l'hash?

Quando vengono create le password, il sistema operativo le memorizza in memoria utilizzando hash crittograficamente sicuri. Il database degli hash non deve essere accessibile ai programmi utente, ma il malware è stato creato per aggirare la sicurezza e raschiare la memoria per queste password. Dopo l'autenticazione, la password può essere memorizzata in memoria in modo che l'utente possa autenticarsi nelle applicazioni mentre lavora su un determinato computer.

Gli attacchi pass-the-hash ottengono hash utente autenticati e li utilizzano per accedere a dati o applicazioni sensibili nel contesto dell'account utente. Gli attacchi PtH in sostanza impersonano l'utente e sfruttano i protocolli di autorizzazione come Kerberos, che vengono utilizzati per creare ticket assegnati agli utenti autorizzati. I ticket dicono al sistema di consentire l'accesso, quindi con un hash utente, un utente malintenzionato, solitamente sotto forma di malware, ha anche accesso all'applicazione di destinazione.

Come funzionano gli attacchi "pass-the-hash"

Gli autori degli attacchi devono prima ottenere degli hash. Questo avviene solitamente tramite malware. Il malware può essere distribuito a una destinazione utilizzando download drive-by o phishing in cui gli utenti con privilegi elevati vengono indotti a installarlo nel loro sistema. Idealmente, un utente con accesso amministratore al sistema installa il malware. Il malware quindi elimina la memoria per gli account utente attivi e i relativi hash.

Con gli hash, il malware esegue quindi spostamenti laterali sulla rete, impersonando l'utente autenticato. La maggior parte degli attacchi PtH funziona con sistemi Single Sign-On (SSO) in cui le stesse credenziali utente autenticano gli account in più sistemi. Il sistema di destinazione potrebbe convalidare le credenziali utente, ma gli hash rubati risolvono questo problema. Il malware ha quindi accesso a qualsiasi sistema o dato come account utente corrispondente dell'hash rubato.

Obiettivi e vulnerabilità comuni

Le macchine Windows sono i bersagli più comuni per gli attacchi PtH. In Windows, New Technology LAN Manager (NTLM) è un protocollo di sicurezza Microsoft utilizzato per autorizzare gli utenti su più applicazioni di rete. NTLM è vulnerabile agli attacchi Pass-the-hash (PtH) perché memorizza le password utente come hash senza sale, ovvero una stringa casuale di caratteri aggiunta a una password per bloccare gli attacchi forzati dall'hash. Gli autori degli attacchi possono facilmente acquisire questi hash da un sistema compromesso e utilizzarli per autenticarsi come utente senza la necessità di conoscere la password originale, consentendo loro di "passare l'hash" per accedere ad altri sistemi e risorse senza dover rompere la password stessa. Questo rende NTLM un obiettivo primario per gli attacchi di furto delle credenziali

NTLM è ancora disponibile per la retrocompatibilità sui sistemi operativi Windows meno recenti, pertanto le nuove versioni di un controller di dominio potrebbero essere ancora vulnerabili a PtH. Qualsiasi sistema operativo e servizio Windows è vulnerabile a PtH se utilizza la retrocompatibilità con NTLM. Nel 2022, i server Microsoft Exchange sono stati compromessi con un movimento laterale dopo che i server Windows sono stati compromessi da malware e PtH.

Impatto degli attacchi "pass-the-hash"

Senza monitoraggio, software anti-malware e rilevamento delle intrusioni, un attacco PtH potrebbe persistere per mesi. L'autenticazione nei sistemi laterali viene eseguita utilizzando credenziali legittime, quindi l'attacco passa inosservato se è in atto un semplice monitoraggio dell'autenticazione e dell'autorizzazione. L'impatto totale di PtH dipende dall'autorizzazione dell'hash.

Un hash rubato da un utente con privilegi elevati potrebbe consentire l'accesso alle informazioni sensibili e causare una violazione dei dati di grandi dimensioni. Il malware potrebbe dare a un utente malintenzionato l'accesso remoto al sistema locale o potrebbe rubare dati e inviarli a un server di terze parti. I dati rubati potrebbero portare a costose multe per la conformità e controversie, con costi aggiuntivi per il contenimento e l'eliminazione del malware.

Strategie di prevenzione e mitigazione

Limitare gli utenti ai soli dati e applicazioni necessari per svolgere il proprio lavoro è il primo passo per ridurre i danni causati da un attacco PtH. Seguendo il principio del privilegio minimo, contiene malware e impedisce l'accesso a tutte le aree dell'ambiente. Gli utenti devono essere formati per riconoscere il phishing e il potenziale malware al fine di ridurre gli incidenti causati da e-mail e siti web dannosi. La segmentazione e il tiering dell'architettura di rete proteggono i sistemi critici dalla compromissione di sistemi meno sicuri.

I sistemi di rilevamento e monitoraggio delle intrusioni sono utili per identificare potenziali minacce PtH. Se il malware viene installato su un computer locale, il rilevamento delle intrusioni identificherà i modelli di traffico sospetti. Inoltre, la disabilitazione di NTLM quando non è necessaria rende alcuni malware inefficaci nel rubare hash.

Strumenti e tecnologie per la difesa

Windows dispone di un paio di strumenti interni per prevenire un attacco pass-the-hash. Credential Guard isola gli hash e pone barriere contro malware e altri scraper di memoria. Windows dispone inoltre di applicazioni anti-malware interne per identificare le minacce note e impedirne l'installazione.

Microsoft offre Local Administrator Password Solution (LAPS) per forzare password univoche per gli amministratori. Gli amministratori che utilizzano la stessa password nell'ambiente di rete lasciano tutti i sistemi con la stessa password aperta a un compromesso dopo il furto di un singolo hash. L'audit delle credenziali utente e di Active Directory può identificare gli account con troppe autorizzazioni e un possibile accesso non autorizzato.

Conclusione

La prevenzione dell'iniezione di malware è il primo passo per proteggere l'ambiente da qualsiasi minaccia, incluso PtH. Assicurati che gli utenti siano consapevoli dei pericoli di phishing e informa gli utenti con privilegi elevati sui pericoli di scaricare software da fonti sconosciute. Evita di utilizzare NTLM se lavori con Windows, ma assicurati di installare un software anti-malware per impedire al malware PtH di rubare i dati nel caso in cui gli autori degli attacchi eludano la sicurezza.

Se il tuo ambiente subisce un attacco PtH, Pure Storage offre soluzioni di ripristino e resilienza per il ripristino dei dati. Scopri di più sulle snapshot SafeMode™ e su come possono aiutarti a ridurre i rischi.