Pass-the-hash es una técnica mediante la cual el atacante roba credenciales obteniendo el hash NTLM o LanMan de la contraseña de un usuario en lugar de la contraseña de texto sin formato y se autentica con ella. Esta técnica, muy común en los sistemas Windows, es una de las técnicas de ataque más exitosas.
Sin embargo, si se ha cambiado la contraseña del usuario, no se puede utilizar el hash robado. Por lo tanto, las mejores prácticas de seguridad recomiendan cambiar contraseñas cada 50 0 60 días.
Impacto de los Hash Attack en las empresas
Un ataque «pass-the-hash» puede tener un grave impacto en una empresa. Con el amplio acceso concedido, un atacante puede interrumpir los sistemas de información implantando malware en las máquinas objetivo, robar datos confidenciales y críticos y cesar las operaciones en los servidores críticos. Sin embargo, el impacto puede ser aún peor.
Un atacante que recolecta un hash, puede moverse “lateralmente” y entrar en los sistemas de mando y control (C&C) que dirigen toda la red y la infraestructura de TI: toda la empresa, más o menos. Una vez dentro de los sistemas, pueden causar estragos en cualquier activo digital del que puedan tomar el control. Una variante de este riesgo, que podría ser aún más problemática, es la penetración de cuentas privilegiadas.
Las cuentas administrativas tienen acceso a las información importante de la empresa. A través de estas cuentas, un usuario con estas credenciales puede configurar, modificar o eliminar otras cuentas de usuario. También puede reconfigurar los sistemas o acceder a los datos.
Los usuarios que son administradores de más alto nivel, incluso pueden ser capaces de eliminar bases de datos y sistemas enteros, y luego borrar cualquier registro de lo que hicieron. Este tipo de acceso es un premio valioso para un atacante de recolección de hash. Es el acceso interno definitivo, el rol que puede hacer más daño.
¿Cómo funciona el hash attack?
El atacante debe obtener primero el acceso a la red a través de alguna otra técnica, como el uso de correos electrónicos de phishing para el robo de credenciales. Pasar el hash es una técnica posterior al compromiso para un mayor robo de credenciales y movimiento “lateral”.
Windows utiliza un modelo de inicio de sesión único para la autenticación de usuarios. Una vez que un usuario ha proporcionado tu contraseña y se ha calculado el hash NTLM, el hash se conserva en la memoria para el resto de la sesión, de modo que las siguientes solicitudes de autenticación a diferentes recursos de la red no necesitan seguir solicitando las credenciales del usuario.
Debido a que el hash de NTLM se almacena en la memoria, los atacantes pueden potencialmente extraer el hash con las herramientas adecuadas.
En el caso de los usuarios conectados, el hash de NTLM se almacena en la memoria del proceso LSASS de cada ordenador. También se conserva en la memoria del software del servidor RDP. (El servidor RDP conserva el hash hasta que la sesión del usuario se cierra, pero si el usuario simplemente se desconecta, el hash se conserva y el usuario se considera conectado. Por lo tanto, para los entornos RDP es importante formar a los usuarios para que cierren sus sesiones RDP y no se desconecten simplemente).
El hash de NTLM también se almacena en el archivo NTDS.dit del controlador de dominio o puede obtenerse mediante un ataque DCSync que engaña a un controlador de dominio para que sincronice su almacén de hashes con un software malicioso que se hace pasar por otro controlador de dominio.
Los atacantes utilizan las credenciales robadas para seguir investigando la red y repetir el ciclo de robo de credenciales y movimiento lateral para aumentar cada vez más su huella de acceso dentro de la red objetivo.
Se pueden utilizar herramientas como PSExec para ejecutar comandos en los sistemas objetivo utilizando las credenciales robadas para instalar malware o filtrar datos.
¿Cómo mitigar ataques Hash attacks?
Una serie de medidas que deben adoptar los equipos de seguridad para mitigar los ataques «pass-the-hash» son: las soluciones especializadas y las políticas de endurecimiento del sistema que dificultan el robo de hashes por parte de los piratas informáticos, junto con la supervisión de los comportamientos de inicio de sesión sospechosos.
Otra práctica eficaz es segmentar la red para evitar que un atacante se desplace “lateralmente” desde las áreas de trabajo generales de la empresa a una «zona privilegiada» que contenga acceso a los sistemas críticos.
En Access Quality, contamos con diferentes soluciones para mantener segura tu organización escríbenos a: ventas@accessq.com.mx para mayor información.