Cosa accadrebbe se un singolo hash compromesso aprisse le porte dell’intera rete?
L’autenticazione è una delle misure fondamentali per garantire l’accesso sicuro ai nostri account e servizi online, permettendoci di confermare la nostra identità e impedire accessi non autorizzati ai nostri dati sensibili. Tuttavia, quando un attore malevolo riesce a sfruttare le vulnerabilità intrinseche ai sistemi di autenticazione, il rischio diventa concreto e potenzialmente devastante.
Il Pass-the-Hash è un attacco che mette in discussione l’efficacia dei tradizionali sistemi di autenticazione, sfruttando una vulnerabilità insidiosa degli ambienti Windows. Questo tipo di attacco permette a un utente malintenzionato di autenticarsi su più sistemi di una stessa rete, bypassando le credenziali dell’utente.
In questo articolo, gli esperti di Cyberment analizzano nel dettaglio questa tipologia di attacco e forniscono consigli pratici per evitare di cadere vittima di un attacco Pass the Hash.
Cos’è Pass the Hash?
«Quando si parla di Pass the Hash (PtH) ci si riferisce a una tecnica di attacco che permette a un attore malevolo di realizzare simultaneamente più autenticazioni su più sistemi presenti sulla stessa rete, senza essere in possesso delle credenziali degli utenti. Emersa per la prima volta nel 1997, a seguito delle analisi condotte da Paul Ashton su una versione modificata del client Samba SMB, la sua peculiarità risiede tutta nell’utilizzo degli hash.
Questi altro non sono che rappresentazioni crittografiche unidirezionali delle password. In linea teorica un attore malevolo non sarebbe in grado di risalire alla password originale partendo da un singolo hash. Tuttavia, una criticità presente in Windows riesce a rendere ciò una realtà.
Il principale bersaglio di Pass the Hash sono le imprese e le organizzazioni.
Questo perché al loro interno si fa ancora uso di un sistema centralizzato per la condivisione di file, cartelle e utenze. In tal modo è più semplice per i dipendenti accedere a determinate risorse in modo agevole. La cosa è ulteriormente semplificata dall’adozione di un’identificazione unica, che prende il nome di Single Sign-On.
Ciò significa che un dipendente si autentica una singola volta per accedere ai sistemi e alle risorse concessi dal suo livello di privilegi.
Da ciò emerge subito la criticità intrinseca a questa “comodità”: tra i cybercriminali e gli asset aziendali si frappone una singola autenticazione facilmente compromettibile.
È in questo contesto dove la tecnica trova il suo terreno fertile. Poiché per l’attaccante non è necessario impossessarsi della password dell’utente, il suo obiettivo è unicamente quello di garantirsi l’accesso iniziale alla macchina della vittima e ottenere il suo hash. Nel momento in cui se ne impossessa, la barriera crolla e l’attore malevolo può accedere ai sistemi critici della compagnia. Questo comporta non solo la sottrazione di asset considerati importanti, ma anche la possibilità da parte sua di garantirsi una certa persistenza nella rete aziendale.
Come funziona un attacco Pass the Hash?
Un attacco Pass the Hash inizia sempre con l’attore malevolo che cerca di accedere alla rete dell’azienda presa di mira.
Ciò avviene mediante una delle solite tecniche conosciute:
- e-mail di phishing;
- credenzialità compromesse;
- vulnerabilità software;
- criticità negli endpoint della rete aziendale;
Nel momento in cui viene stabilito il primo accesso, questi si muove al suo interno cautamente, spesso impiegando BloodHound, uno strumento per mappare i dispositivi connessi e identificare gli account con privilegi elevati.
Obiettivo: il servizio LSASS di Windows
Individuato il bersaglio, l’attaccante punta direttamente al processo di autenticazione di Windows: il Local Security Authority Subsystem Service (LSASS). Si tratta di un servizio essenziale di sicurezza che conserva temporaneamente le credenziali degli utenti, incluse le password cifrate e gli hash necessari per l’autenticazione su altre macchine.
Raccolta degli hash con Mimikatz
La scelta di puntare sul LSASS non è casuale, poiché l’obiettivo dell’attore malevolo è impossessarsi degli hash memorizzati. Questi sono solitamente di tipo NTLM (NT LAN Manager), o Kerberos. Per far ciò si ricorre ad un altro strumento specifico, ovvero Mimikatz, che permette di interrogare e leggere la memoria di LSASS, raccogliendo i dati di autenticazione degli utenti attivi sulla macchina. Così facendo si ovvia alla necessità di decriptare gli hash, o di conoscere la password utente in chiaro.
Sfruttamento dell’hash per autenticazione
Con in mano l’hash dell’utente o di un amministratore, l’attaccante può cominciare a sfruttare la vulnerabilità di autenticazione. Invece che effettuare un’autenticazione tramite password, questi “passa” l’hash al sistema come prova di identità. Questa operazione è possibile perché, in sistemi che utilizzano NTLM, l’hash viene accettato come credenziale valida senza la necessità di ulteriori verifiche.
Accesso remoto e movimenti laterali
L’attaccante può quindi inviare una richiesta SMB, o accedere a una sessione RDP su un dispositivo remoto, utilizzando l’hash dell’account compromesso per autenticarsi. Superata questa barriera, l’attaccante è libero di compiere una serie di movimenti laterali, passando così da una macchina all’altra senza dover compromettere ulteriori password.
Espansione e compromissione dell’infrastruttura
Questi attacchi sono molto efficaci se i sistemi aziendali condividono, o accettano hash degli utenti amministrativi e di dominio, che spesso non sono univoci per ogni macchina. L’attaccante può quindi propagarsi ulteriormente nella rete, raccogliendo nuovi hash a ogni autenticazione e ampliando l’accesso verso risorse più critiche.
Persistenza e controllo completo della rete
Tutto questo porta inevitabilmente all’ottenimento del controllo dell’intera infrastruttura Active Directory. In tal modo, l’attore malevolo è in grado di instaurare una persistenza nel sistema. Nulla può impedirgli di esfiltrare dati critici, disabilitare la protezione di rete, installare malware o utilizzare l’infrastruttura compromessa come punto di partenza per attacchi su altre reti collegate.
Come si può evitare di cadere vittima di un attacco Pass the Hash?
In base a quanto discusso nel paragrafo precedente, le conseguenze derivanti da un attacco del genere sono a dir poco devastanti. Se si vuole evitare una sua insorgenza, sono di seguito riportati alcuni consigli e misure cautelari, da implementare all’interno della propria organizzazione.
- Utilizzare autenticazione multifattoriale (MFA)
L’impiego dell’autenticazione a più fattori deve essere una misura imperativa, soprattutto per account con privilegi elevati.
In tal modo si aggiungono ulteriori livelli di oltre all’hash. Ricorrere alle impronte biometriche è un’aggiunta importante, poiché difficile da replicare.
- Limitare l’impiego di NTLM ai sistemi legacy
Poiché si tratta di una suite di protocolli piuttosto datati, si dovrebbero preferire delle soluzioni aggiornate e in possesso delle misure di sicurezza adeguate agli standard odierni. La soluzione ideale sarebbe l’impiego di Kerberos con configurazioni avanzate di sicurezza per i sistemi critici, mentre NTLM andrebbe limitato a quelli più datati.
- Abilitare la protezione avanzata di LSASS
Dato che in un attacco Pass the Hash questo è il primo bersaglio, il processo di Windows deve essere protetto adeguatamente. In tal modo si evita che processi non autorizzati accedano alla sua memoria, riducendo la possibilità di esfiltrazione degli hash.
- Segmentare la rete e implementare firewall interni
La rete aziendale deve essere divisa in segmenti, ciascuno dei quali deve essere ulteriormente protetto con un firewall interno. In tal modo, l’aggressore si vede drasticamente ridotte le possibilità di compiere movimenti laterali al suo interno.
- Implementare un piano di monitoraggio degli endpoint affidabile
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
L’attacco Pass the Hash mette in luce una criticità importante nella gestione delle credenziali e nella progettazione il sistema di autenticazione di Windows.
Il fatto che una vulnerabilità intrinseca come questa possa consentire movimenti laterali e scalate di privilegio in modo così efficace, evidenzia i limiti strutturali del sistema operativo e ci spinge a riflettere sulla responsabilità delle big tech nel migliorare le proprie misure di sicurezza.
Per chiunque operi nel settore della sicurezza informatica, restare aggiornati su minacce come il Pass the Hash è imprescindibile.
Solo conoscendo e implementando le migliori pratiche per la gestione delle credenziali è possibile arginare i rischi a cui ci espone l’adozione di soluzioni centralizzate e dominanti nel mercato. Tuttavia, è altrettanto cruciale continuare a richiedere che i giganti del settore non solo innalzino gli standard di sicurezza, ma garantiscano test di qualità più stringenti.»
https://cyberment.it/cyber-attacchi/pass-the-hash-lattacco-che-bypassa-le-password/
