Pass the hash Giacomo Lanzi

Pass the hash: come guadagnare accesso senza la password

Tempo di lettura stimato: 6 minuti

Da quando internet è diventato molto diffuso, sono stati fatti incredibili passi avanti sulla consapevolezza dell’uso delle password. Ormai tutti conoscono quali sono le best practice per impostare una password (evitare le password standard, usare lettere e numeri, evitare le date di nascita, etc). Tuttavia, non c’è tanto da stare tranquilli, perché gli hacker hanno un altro trucco che potrebbe mettere a rischio i vostri account: l’attacco pass the hash.

Generalmente gli attacchi alle password possono essere mitigati applicando password forti, eliminando le impostazioni predefinite dei fornitori e implementando una ragionevole policy di sostituzione ciclica delle password. Gli attacchi alle password, o meglio alle credenziali, sono ancora molto popolari, in realtà. Uno di questi attacchi è il cosiddetto pass the hash o PtH.

Questi attacchi sono visti da alcuni come un problema dei vecchi sistemi Windows. Un po’ è vero, ma sono comunque una minaccia. Infatti, il Pass the Hash è ancora soggetto di molto materiale recuperabile con una semplice ricerca Google, sia per capire come difendersi, sia per imparare ad attaccare.

pass the hash password

Gli hash

Prima di capire cosa sia l’attacco Pass the Hash, è meglio definire in modo chiaro cosa sia un Hash.

I ricercatori in campo di sicurezza sanno fin dagli albori dell’informatica moderna che memorizzare le password in chiaro è una pessima pratica di sicurezza. Per questo, hanno avuto l’idea di passare la stringa di testo semplice attraverso una speciale funzione di crittografia a 1 via per produrre un hash. Un hash è un codice matematico di una lunghezza prestabilita che deriva e rappresenta univocamente la password, ma non può essere invertito matematicamente o rivelare quale sia la password di partenza.

Si tratta, nella pratica, di una stringa di caratteri alfanumerici generata partendo dalla password.

Il punto chiave è che in entrambi i sistemi Windows e Linux la password hash viene memorizzata al posto di quella leggibile. Se ci si pensa un po’, l’hash agisce come un proxy per l’identità: se puoi dimostrare di averlo, è come un biglietto d’ingresso.

In Windows, il protocollo di autenticazione NTLM prevede lo scambio di messaggi per confermare che gli utenti abbiano l’hash senza effettivamente inviarlo nella comunicazione. Questa tecnica di autenticazione è al centro di come Active Directory (cuore del sistema Windows Server), supporta i login remoti all’interno di un dominio ed è anche usata per altri servizi di Windows, in particolare l’accesso remoto ai file.

Pass the Hash

Il sistema operativo stocca gli hash nella memoria per implementare il Single Sign On o SSO, che è una caratteristica essenziale degli ambienti aziendali Windows. Fin qui, tutto bene, sembrerebbe.

Per esempio, su un portatile l’utente accede inizialmente con la password, Windows ne fa un hash e lo memorizza in modo che quando, per esempio, si acceda a una directory remota o si usano altri servizi in cui c’è bisogno di provare l’identità, non è necessario inserire nuovamente la password. Windows usa l’hash memorizzato.

Questa comportamento è sufficiente per gli hacker. Attraverso l’uso di RAM scrapers usati sui dispositivi, gli hacker possono sbirciare nella memoria RAM e recuperare gli hash. Non sorprende che ci siano kit di strumenti sulla rete che permettono agli hacker di rubare le credenziali dalla memoria e accedere come quell’utente.

Questo è uno dei punti deboli del sistema SSO. Gli hacker non devono craccare gli hash (cercare cioè di decifrarli), ma semplicemente riutilizzarli o passarli ad un server di autenticazione, da cui il nome pass the hash.

pass the hash login

Pass the Hash sfrutta una caratteristica non un bug

Il presupposto di questo attacco è che l’hacker guadagna i permessi da amministratore per la macchina di un primo utente. Chiunque del settore vi dirà che non è necessariamente difficile da realizzare.

In un tipico exploit, l’hacker prenderà alcuni hash, accederà ad altri server e continuerà il processo di accumulo di credenziali. Se riesce a fare jackpot, ossia arrivare a un controller di dominio o un server SQL, potrebbe essere in grado di ottenere gli hash di tutti gli utenti nel sistema.

Sfortunatamente, pass the hash è una caratteristica di Windows, non un bug! L’autenticazione NTLM sta effettivamente usando l’hash per implementare il protocollo SSO, risparmiando all’utente la fatica di inserire la password. Gli hacker stanno solo sfruttando questa caratteristica per i loro scopi.

Per non essere troppo duro con i sistemi Windows, bisogna dire che pass the hash è anche un problema nei sistemi Linux che implementano il protocollo di comunicazione Kerboros, dove si ha un equivalente attacco Pass the Ticket o PtT.

Ecco la cosa più importante da tenere a mente: non si può prevenire l’attacco Pass the Hash, si può solo mitigare o ridurre notevolmente la possibilità che questo attacco si verifichi.

Pass the hash

Prevenire l’exploit

Ad oggi, questo tipo di attacco è usato dai peggiori software di ransomware.

L’attacco avverrebbe in questo modo: una volta che il ransomware colpisce, acquisisce i privilegi di amministratore e, oltre a cifrare tutti i dati del disco, utilizza gli hash trovati per compiere dei lateral movement. Ottenuto accesso a un’altra macchina della rete, procede a cifrare i dati presenti su di essa, diffondendosi rapidamente in una rete.

L’unico modo di azzerare le possibilità di attacco pass the hash, sarebbe quello di non utilizzare il sistema Single Sign-On per l’autenticazione. In questo caso gli hash non ci sarebbe del tutto e non si potrebbero sfruttare per l’attacco. Sfortunatamente non è semplice eliminare un sistema così comodo che rende la gestione degli accessi così semplice e comoda per gli utenti.

La soluzione di SOD

Un altro metodo di mitigazione, è quello di implementare nella rete sistemi SIEM e UEBA, ed impostare un controllo della rete centralizzato con un SOC.

Grazie al servizio SOC as a Service offerto da SOD, infatti, la rete viene monitorata e controllata da un’intelligenza artificiale che segnala ogni possibile comportamento sospetto. Il lateral movement è così immediatamente rilevato e bloccato, così come dubbie richieste di accesso a computer della rete aziendale.

La tecnologia avanza e si implementano sempre nuove soluzioni per la difesa, ma allo stesso modo gli attaccanti scoprono nuovi modi di sfruttare le vulnerabilità.

Per abbassare di molto il rischio di perdita di dati o accessi fraudolenti, bisogna restare sempre al passo con i tempi.

Se sei interessato a sapere come il nostro SOCaaS poterebbe aiutare la tua azienda, non esitare a contattarci, saremo lieti di rispondere a ogni tuo dubbio.

Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Trovent Security Advisory 2203-01 / Micro Focus GroupWise transmits session ID in URL Gennaio 31, 2023
    Posted by Stefan Pietsch on Jan 30# Trovent Security Advisory 2203-01 # ##################################### Micro Focus GroupWise transmits session ID in URL ################################################# Overview ######## Advisory ID: TRSA-2203-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2203-01 Affected product: Micro Focus GroupWise Affected version: prior to 18.4.2 Vendor: Micro Focus, https://www.microfocus.com...
  • APPLE-SA-2023-01-24-1 tvOS 16.3 Gennaio 27, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 26APPLE-SA-2023-01-24-1 tvOS 16.3 tvOS 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213601. AppleMobileFileIntegrity Available for: Apple TV 4K (all models) and Apple TV HD Impact: An app may be able to access user-sensitive data Description: This issue was addressed […]
  • [SYSS-2022-047] Razer Synapse - Local Privilege Escalation Gennaio 27, 2023
    Posted by Oliver Schwarz via Fulldisclosure on Jan 26Advisory ID: SYSS-2022-047 Product: Razer Synapse Manufacturer: Razer Inc. Affected Version(s): Versions before 3.7.0830.081906 Tested Version(s): 3.7.0731.072516 Vulnerability Type: Improper Certificate Validation (CWE-295) Risk Level: High Solution Status: Open Manufacturer Notification: 2022-08-02 Solution Date: 2022-09-06 Public Disclosure:...
  • [RT-SA-2022-002] Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin Gennaio 26, 2023
    Posted by RedTeam Pentesting GmbH on Jan 26RedTeam Pentesting identified a vulnerability which allows attackers to craft URLs to any third-party website that result in arbitrary content to be injected into the response when accessed through the Secure Web Gateway. While it is possible to inject arbitrary content types, the primary risk arises from JavaScript […]
  • t2'23: Call For Papers 2023 (Helsinki, Finland) Gennaio 24, 2023
    Posted by Tomi Tuominen via Fulldisclosure on Jan 23Call For Papers 2023 Tired of your bosses suspecting conference trips to exotic locations being just a ploy to partake in Security Vacation Club? Prove them wrong by coming to Helsinki, Finland on May 4-5 2023! Guaranteed lack of sunburn, good potential for rain or slush. In […]
  • Re: HNS-2022-01 - HN Security Advisory - Multiple vulnerabilities in Solaris dtprintinfo and libXm/libXpm Gennaio 24, 2023
    Posted by Marco Ivaldi on Jan 23Hello again, Just a quick update. Mitre has assigned the following additional CVE IDs: * CVE-2023-24039 - Stack-based buffer overflow in libXm ParseColors * CVE-2023-24040 - Printer name injection and heap memory disclosure We have updated the advisory accordingly: https://github.com/hnsecurity/vulns/blob/main/HNS-2022-01-dtprintinfo.txt Regards, Marco
  • APPLE-SA-2023-01-23-8 Safari 16.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-8 Safari 16.3 Safari 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213600. WebKit Available for: macOS Big Sur and macOS Monterey Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: The issue was addressed with […]
  • APPLE-SA-2023-01-23-7 watchOS 9.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-7 watchOS 9.3 watchOS 9.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213599. AppleMobileFileIntegrity Available for: Apple Watch Series 4 and later Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened […]
  • APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 macOS Big Sur 11.7.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213603. AppleMobileFileIntegrity Available for: macOS Big Sur Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling […]
  • APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 macOS Monterey 12.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213604. AppleMobileFileIntegrity Available for: macOS Monterey Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]

Customers

Newsletter