Como funcionam os ataques pass-the-hash?
Apesar de ser algo antigo, da década de 1990, poucas pessoas conhecem como funcionam os ataques pass-the-hash.
Continue lendo o artigo para saber!
De onde veio o nome “pass-the-hash”?
Os ataques pass-the-hash ocorrem quando um invasor rouba uma credencial de usuário com uma função hash.
Sem “quebrar” essa função, o invasor a reutiliza para enganar um sistema de autenticação a fim de criar uma nova sessão autenticada na mesma rede.
Para quem não sabe, uma função hash é qualquer algoritmo que mapeie grandes dados e de variável tamanho para dados pequenos de tamanho fixo.
As funções hash são utilizadas largamente a fim de verificar a integridade de downloads, buscar elementos em bases de dados ou transmitir e armazenar senhas.
Daí, então, que veio o nome “pass-the-hash”, que em inglês significa “passar o hash” — exatamente o que os invasores fazem por meio desse ataque.
Como são classificados os ataques pass-the-hash na Tecnologia da Informação?
Ataques do tipo pass-the-hash são principalmente uma técnica de movimento lateral.
Isso significa que os hackers estão usando o hash para extrair informações e credenciais adicionais depois de já comprometer um dispositivo.
Movendo-se “lateralmente” entre dispositivos e contas, os invasores podem “passar o hash” para obter todas as credenciais corretas de outra pessoa.
Com isso, eventualmente podem “escalar” seus privilégios de domínio e acessar sistemas mais influentes, como uma conta de administrador no seu computador pessoal sem nem precisarem da sua senha.
Outra informação interessante é que a maior parte do movimento executado durante um ataque do tipo pass-the-hash usa um programa de software remoto, como um malware.
Em quais sistemas operacionais funcionam os ataques pass-the-hash?
Normalmente, os ataques pass-the-hash são direcionados a sistemas Windows.
Contudo, também podem funcionar contra outros sistemas operacionais, em alguns casos em qualquer protocolo de autenticação, como o Kerberos.
O Windows é especialmente vulnerável a esses ataques por causa de sua função de logon único.
Essa função permite aos usuários que, inserindo apenas uma vez a senha, possam acessar todos os recursos que quiserem.
A função de logon único também requer que as credenciais dos usuários sejam armazenadas em cache no sistema, facilitando o acesso de invasores.
Esse é um dos motivos pelos quais se torna tão importante saber as 7 Dicas para evitar ataques cibernéticos durante o trabalho remoto.
Como funcionam os ataques pass-the-hash?
Para executar um ataque pass-the-hash, o invasor primeiro obtém os hashes do sistema visado usando qualquer número de ferramentas de despejo de hash, como fgdump e pwdump7.
O invasor então usa essas ferramentas para colocar os hashes obtidos em um Serviço de Subsistema de Autoridade de Segurança Local (LSASS).
Ataques pass-the-hash são frequentemente direcionados a máquinas Windows devido à vulnerabilidade de segurança dos hashes NTLM (New Technology Local Area Network Manager), uma vez que os privilégios de administrador foram obtidos.
Esses ataques costumam enganar um sistema de autenticação baseado no Windows “fazendo-o acreditar” que o ponto de extremidade do invasor é o do usuário legítimo.
Assim, o sistema fornece automaticamente as credenciais necessárias quando o invasor tentar acessar o sistema visado.
E tudo isso pode ser feito, como já foi dito, sem a necessidade da senha original.
A chave usada por invasores para a realização desses tipos de ataque é o hash NTLM, que nada mais é que códigos matemáticos de comprimento fixo derivados das senhas.
Os hashes NTLM permitem que o invasor use contas de domínio comprometidas sem extrair a senha em texto simples.
Isso ocorre porque os sistemas operacionais de computador, como o Windows, nunca realmente enviam ou salvam senhas de usuário em sua rede.
Em vez disso, esses sistemas armazenam senhas como hashes NTLM criptografados, que representam a senha, mas não podem sofrer engenharia reversa.
Os hashes NTLM ainda podem ser usados no lugar da senha para acessar várias contas e recursos na rede.
Para que um invasor consiga acessar o LSASS, ele precisa comprometer com êxito um computador até o ponto em que o malware possa ser executado com direitos de administrador local.
Esse, então, é um dos maiores obstáculos para ataques do tipo pass-the-hash. E saber como garantir o controle de suas contas privilegiadas com PEDM é outro grande obstáculo, também.
Depois que uma máquina baseada no Windows é comprometida e o malware implantado recebe acesso aos nomes de usuário locais e hashes NTLM, sabe o que ocorre?
O invasor pode até escolher se deseja buscar mais credenciais ou tentar acessar recursos de rede usando as credenciais de usuários elevados.
Ao reunir mais credenciais de usuário, um invasor pode recuperar as credenciais de usuários que tenham contas separadas na máquina Windows, como uma conta de serviço,ou que ainda tenham acesso remoto ao computador com o login de administrador, por exemplo.
Os administradores de tecnologia da informação remota (TI) que se conectam à máquina Windows comprometida vão expor seu nome de usuário e hash NTLM ao malware agora integrado.
Um invasor com credenciais de administrador de TI pode, então, mover-se “lateralmente” por meio de dispositivos em rede.
O “movimento lateral” é uma forma eficaz de pesquisar usuários com privilégios elevados, como direitos administrativos a recursos protegidos.
O escalonamento de privilégios pode ser obtido localizando as credenciais de um administrador com maior acesso administrativo.
Esses recursos elevados também podem incluir o acesso a bancos de dados de clientes e servidores de e-mail.
O que ataques pass-the-hash podem fazer com o meu computador?
Como esse tipo de ataque explora os recursos e capacidades do protocolo NTLM, a ameaça nunca pode ser eliminada completamente.
Depois que um invasor compromete um computador, o pass-the-hash se torna apenas uma das atividades maliciosas que podem ser executadas.
Um estudo feito em 2019 descobriu que 95% de seus 1.000 entrevistados experimentaram um efeito direto nos negócios com o pass-the-hash em suas organizações.
Cerca de 40% desses ataques resultaram em perda de receita e 70% incorreram em aumento dos custos operacionais.
Não é à toa que muitos especialistas da área da Tecnologia da Informação consideram os ataques pass-the-hash como estando entre as principais vulnerabilidades da cibersegurança na Indústria 4.0.
Você está curtindo esse post? Inscreva-se para nossa Newsletter!
Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.
Como evitar os ataques pass-the-hash?
Infelizmente, há muitas maneiras de os hackers comprometerem remotamente um computador, e elas estão em constante evolução.
Por esse motivo, as medidas de segurança cibernética nunca serão 100% eficazes, e é por isso que várias técnicas de mitigação são frequentemente usadas ao mesmo tempo.
Reconhecendo que mesmo sabendo como funcionam os ataques pass-the-hash não dá para evitar todos eles, as empresas podem tentar melhorar suas estratégias de detecção, bem como suas medidas preventivas.
Os logs da estação de trabalho são uma das maneiras mais comuns de monitorar atividades administrativas de maneira confiável.
Esses logs podem rastrear atribuições de privilégios, bem como tentativas de login bem-sucedidas.
Os logs do servidor de destino e os logs do controlador de domínio são úteis pelos mesmos motivos.
Para atenuar a ameaça dos ataques pass-the-hash, as organizações também devem garantir que os controladores de domínio só possam ser acessados de sistemas confiáveis sem acesso à Internet.
A autenticação de dois fatores que usa tokens deve ser igualmente aplicada, bem como o princípio do menor privilégio — nesse sentido, adotar o Zero Standing Privileges (ZSP) é uma opção.
As organizações devem monitorar de perto os hosts e o tráfego em suas redes em busca de atividades suspeitas.
Solicite uma demonstração gratuita de serviços de segurança cibernética agora mesmo e mantenha-se protegido contra esses tipos de ameaças!
—
Fonte:
https://www.guiadoti.com/2018/04/entendendo-o-ataque-pass-the-hash-ntlm/
https://docs.microsoft.com/pt-br/defender-for-identity/lateral-movement-alerts