BR +55 11 3069 3925  |  USA +1 855 726 4878

Como funcionam os ataques pass-the-hash?

por | out 12, 2021 | Blog

Apesar de ser algo antigo, da década de 1990, poucas pessoas conhecem como funcionam os ataques pass-the-hash.

Continue lendo o artigo para saber!

De onde veio o nome “pass-the-hash”?

Os ataques pass-the-hash ocorrem quando um invasor rouba uma credencial de usuário com uma função hash.

Sem “quebrar” essa função, o invasor a reutiliza para enganar um sistema de autenticação a fim de criar uma nova sessão autenticada na mesma rede.

Para quem não sabe, uma função hash é qualquer algoritmo que mapeie grandes dados e de variável tamanho para dados pequenos de tamanho fixo.

As funções hash são utilizadas largamente a fim de verificar a integridade de downloads, buscar elementos em bases de dados ou transmitir e armazenar senhas.

Daí, então, que veio o nome “pass-the-hash”, que em inglês significa “passar o hash” — exatamente o que os invasores fazem por meio desse ataque.

Como são classificados os ataques pass-the-hash na Tecnologia da Informação?

Ataques do tipo pass-the-hash são principalmente uma técnica de movimento lateral.

Isso significa que os hackers estão usando o hash para extrair informações e credenciais adicionais depois de já comprometer um dispositivo.

Movendo-se “lateralmente” entre dispositivos e contas, os invasores podem “passar o hash” para obter todas as credenciais corretas de outra pessoa.

Com isso, eventualmente podem “escalar” seus privilégios de domínio e acessar sistemas mais influentes, como uma conta de administrador no seu computador pessoal sem nem precisarem da sua senha.

Outra informação interessante é que a maior parte do movimento executado durante um ataque do tipo pass-the-hash usa um programa de software remoto, como um malware.

Em quais sistemas operacionais funcionam os ataques pass-the-hash?

Normalmente, os ataques pass-the-hash são direcionados a sistemas Windows.

Contudo, também podem funcionar contra outros sistemas operacionais, em alguns casos em qualquer protocolo de autenticação, como o Kerberos.

O Windows é especialmente vulnerável a esses ataques por causa de sua função de logon único.

Essa função permite aos usuários que, inserindo apenas uma vez a senha, possam acessar todos os recursos que quiserem.

A função de logon único também requer que as credenciais dos usuários sejam armazenadas em cache no sistema, facilitando o acesso de invasores.

Esse é um dos motivos pelos quais se torna tão importante saber as 7 Dicas para evitar ataques cibernéticos durante o trabalho remoto.

Como funcionam os ataques pass-the-hash?

Para executar um ataque pass-the-hash, o invasor primeiro obtém os hashes do sistema visado usando qualquer número de ferramentas de despejo de hash, como fgdump e pwdump7.

O invasor então usa essas ferramentas para colocar os hashes obtidos em um Serviço de Subsistema de Autoridade de Segurança Local (LSASS).

Ataques pass-the-hash são frequentemente direcionados a máquinas Windows devido à vulnerabilidade de segurança dos hashes NTLM (New Technology Local Area Network Manager), uma vez que os privilégios de administrador foram obtidos.

Esses ataques costumam enganar um sistema de autenticação baseado no Windows “fazendo-o acreditar” que o ponto de extremidade do invasor é o do usuário legítimo.

Assim, o sistema fornece automaticamente as credenciais necessárias quando o invasor tentar acessar o sistema visado.

E tudo isso pode ser feito, como já foi dito, sem a necessidade da senha original.

A chave usada por invasores para a realização desses tipos de ataque é o hash NTLM, que nada mais é que códigos matemáticos de comprimento fixo derivados das senhas.

Os hashes NTLM permitem que o invasor use contas de domínio comprometidas sem extrair a senha em texto simples.

Isso ocorre porque os sistemas operacionais de computador, como o Windows, nunca realmente enviam ou salvam senhas de usuário em sua rede.

Em vez disso, esses sistemas armazenam senhas como hashes NTLM criptografados, que representam a senha, mas não podem sofrer engenharia reversa.

Os hashes NTLM ainda podem ser usados no lugar da senha para acessar várias contas e recursos na rede.

Para que um invasor consiga acessar o LSASS, ele precisa comprometer com êxito um computador até o ponto em que o malware possa ser executado com direitos de administrador local.

Esse, então, é um dos maiores obstáculos para ataques do tipo pass-the-hash. E saber como garantir o controle de suas contas privilegiadas com PEDM é outro grande obstáculo, também.

Depois que uma máquina baseada no Windows é comprometida e o malware implantado recebe acesso aos nomes de usuário locais e hashes NTLM, sabe o que ocorre?

O invasor pode até escolher se deseja buscar mais credenciais ou tentar acessar recursos de rede usando as credenciais de usuários elevados.

Ao reunir mais credenciais de usuário, um invasor pode recuperar as credenciais de usuários que tenham contas separadas na máquina Windows, como uma conta de serviço,ou que ainda tenham acesso remoto ao computador com o login de administrador, por exemplo.

Os administradores de tecnologia da informação remota (TI) que se conectam à máquina Windows comprometida vão expor seu nome de usuário e hash NTLM ao malware agora integrado.

Um invasor com credenciais de administrador de TI pode, então, mover-se “lateralmente” por meio de dispositivos em rede.

O “movimento lateral” é uma forma eficaz de pesquisar usuários com privilégios elevados, como direitos administrativos a recursos protegidos.

O escalonamento de privilégios pode ser obtido localizando as credenciais de um administrador com maior acesso administrativo.

Esses recursos elevados também podem incluir o acesso a bancos de dados de clientes e servidores de e-mail.

O que ataques pass-the-hash podem fazer com o meu computador?

Como esse tipo de ataque explora os recursos e capacidades do protocolo NTLM, a ameaça nunca pode ser eliminada completamente.

Depois que um invasor compromete um computador, o pass-the-hash se torna apenas uma das atividades maliciosas que podem ser executadas.

Um estudo feito em 2019 descobriu que 95% de seus 1.000 entrevistados experimentaram um efeito direto nos negócios com o pass-the-hash em suas organizações.

Cerca de 40% desses ataques resultaram em perda de receita e 70% incorreram em aumento dos custos operacionais.

Não é à toa que muitos especialistas da área da Tecnologia da Informação consideram os ataques pass-the-hash como estando entre as principais vulnerabilidades da cibersegurança na Indústria 4.0.

Você está curtindo esse post? Inscreva-se para nossa Newsletter!

5 + 4 =

Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.

Como evitar os ataques pass-the-hash?

Infelizmente, há muitas maneiras de os hackers comprometerem remotamente um computador, e elas estão em constante evolução.

Por esse motivo, as medidas de segurança cibernética nunca serão 100% eficazes, e é por isso que várias técnicas de mitigação são frequentemente usadas ao mesmo tempo.

Reconhecendo que mesmo sabendo como funcionam os ataques pass-the-hash não dá para evitar todos eles, as empresas podem tentar melhorar suas estratégias de detecção, bem como suas medidas preventivas.

Os logs da estação de trabalho são uma das maneiras mais comuns de monitorar atividades administrativas de maneira confiável.

Esses logs podem rastrear atribuições de privilégios, bem como tentativas de login bem-sucedidas.

Os logs do servidor de destino e os logs do controlador de domínio são úteis pelos mesmos motivos.

Para atenuar a ameaça dos ataques pass-the-hash, as organizações também devem garantir que os controladores de domínio só possam ser acessados de sistemas confiáveis sem acesso à Internet.

A autenticação de dois fatores que usa tokens deve ser igualmente aplicada, bem como o princípio do menor privilégio — nesse sentido, adotar o Zero Standing Privileges (ZSP) é uma opção.

As organizações devem monitorar de perto os hosts e o tráfego em suas redes em busca de atividades suspeitas.

Solicite uma demonstração gratuita de serviços de segurança cibernética agora mesmo e mantenha-se protegido contra esses tipos de ameaças!

Fonte:

https://www.guiadoti.com/2018/04/entendendo-o-ataque-pass-the-hash-ntlm/

https://docs.microsoft.com/pt-br/defender-for-identity/lateral-movement-alerts

 

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Investimento de 13 milhões de dólares impulsiona expansão da senhasegura nas Américas e no Oriente Médio

Por Priscilla Silva São Paulo, 10 de Março de 2023 - O senhasegura, provedor líder de solução para Gestão de Acessos Privilegiados (PAM), que protege ambientes tecnológicos e recursos críticos de organizações contra ameaças cibernéticas, anuncia o aporte de 13 milhões...

senhasegura recebe prêmio CyberSecured 2022 como melhor solução de PAM nos EUA

Escrito por Priscilla Silva SÃO PAULO, 28 de Fevereiro de 2023 - A edição de 2022 do prêmio CyberSecured, promovido pela revista Security Today, marca do grupo 1105 Media's Infrastructure Solutions Group, elegeu a senhasegura como vencedora na categoria Privileged...

senhasegura lança o conceito “Jiu-JitCISO” para mostrar o vigor da cibersegurança brasileira

Por Priscilla Silva São Paulo, 13 de janeiro de 2023 - "Como no Jiu-Jitsu, a senhasegura é sobre defesa própria. Toda empresa deveria saber como se proteger e também proteger os seus clientes" é o propósito baseado na filosofia da arte marcial japonesa, mas...

CISA e FBI lançam script de recuperação de ransomware ESXiArgs

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos e o Departamento Federal de Investigação (FBI) lançaram, nesta semana, um guia de recuperação do ransomware ESXiArgs, que prejudicou milhares de empresas em âmbito global. Isso ocorreu porque...

senhasegura é líder pelo segundo ano consecutivo no relatório KuppingerCole Leadership Compass 2023

Por Priscilla Silva São Paulo, 30 de janeiro de 2023 - A senhasegura, solução de Gestão de Acessos Privilegiados (PAM) conquista a posição de líder no atual "Leadership Compass 2023". O relatório é produzido pela renomada empresa de análise de TI, a alemã...