Les systèmes modernes stockent les mots de passe au format haché. Un attaquant peut envoyer un hachage volé par le système pour s’authentifier dans des applications privées sans mot de passe en texte brut. Une attaque de type « passe-hash » (PtH) ne nécessite pas de forcer brutalement la valeur du hachage au texte brut. Au lieu de cela, un attaquant utilise la session en cours d’un utilisateur ou obtient des hachages de la mémoire, généralement à partir d’un logiciel malveillant.
Qu’est-ce que la réussite ?
Lorsque des mots de passe sont créés, le système d’exploitation les stocke en mémoire à l’aide de hachages sécurisés par chiffrement. La base de données des hachages ne doit pas être accessible aux programmes utilisateurs, mais les logiciels malveillants sont conçus pour contourner la sécurité et supprimer la mémoire pour ces mots de passe. Une fois l’authentification effectuée, le mot de passe peut être stocké dans la mémoire pour permettre à l’utilisateur de s’authentifier dans les applications lorsqu’il travaille sur une machine particulière.
Les attaques de « passe-hash » obtiennent des hachages d’utilisateur authentifiés et les utilisent pour accéder à des données ou applications sensibles dans le contexte du compte utilisateur. Les attaques PtH se font essentiellement passer pour l’utilisateur et tirent parti de protocoles d’autorisation comme Kerberos, qui sont utilisés pour créer des tickets attribués aux utilisateurs autorisés. Les tickets indiquent au système d’autoriser l’accès, de sorte qu’avec un hachage utilisateur, un hacker, généralement sous la forme d’un logiciel malveillant, a également accès à l’application ciblée.
Comment fonctionnent les attaques de passage à l’attaque
Les attaquants doivent d’abord obtenir des hachages. Cela se fait généralement par le biais de logiciels malveillants. Les logiciels malveillants peuvent être transmis à une cible à l’aide de téléchargements sur disque ou d’hameçonnage, où les utilisateurs hautement privilégiés sont amenés à les installer sur leur système. Dans l’idéal, un utilisateur disposant d’un accès administrateur au système installe le logiciel malveillant. Le logiciel malveillant récupère ensuite de la mémoire pour les comptes d’utilisateurs actifs et leurs hachages.
Avec les hachages, le logiciel malveillant effectue ensuite des déplacements latéraux sur le réseau, se faisant passer pour l’utilisateur authentifié. La plupart des attaques PtH fonctionnent avec des systèmes d’authentification unique (SSO) où les mêmes identifiants d’utilisateur authentifient les comptes dans plusieurs systèmes. Le système ciblé peut valider les identifiants de l’utilisateur, mais les hachages volés résolvent ce problème. Les logiciels malveillants ont ensuite accès à n’importe quel système ou donnée en tant que compte utilisateur correspondant du hachage volé.
Cibles et vulnérabilités courantes
Les machines Windows sont les cibles les plus courantes des attaques PtH. Dans Windows, New Technology LAN Manager (NTLM) est un protocole de sécurité Microsoft utilisé pour autoriser les utilisateurs sur plusieurs applications réseau. La technologie NTLM est vulnérable aux attaques de type « passe-hash » (PtH), car elle stocke les mots de passe des utilisateurs sous forme de hachages sans sel, une chaîne de caractères aléatoire ajoutée à un mot de passe pour bloquer les attaques de force brute sur le hachage. Les attaquants peuvent facilement capturer ces hachages à partir d’un système compromis et les utiliser pour s’authentifier en tant qu’utilisateur sans avoir à connaître le mot de passe initial, ce qui leur permet de « passer le hachage » pour accéder à d’autres systèmes et ressources sans avoir à déchiffrer le mot de passe lui-même. Le NTLM est donc une cible privilégiée pour les attaques de vol d’identifiants
La technologie NTLM est toujours disponible pour la rétrocompatibilité sur les anciens systèmes d’exploitation Windows, de sorte que les nouvelles versions d’un contrôleur de domaine peuvent toujours être vulnérables à PtH. Tout système d’exploitation et service Windows est vulnérable à PtH s’il utilise la rétrocompatibilité avec NTLM. En 2022, les serveurs Microsoft Exchange ont été compromis par un déplacement latéral après que les serveurs Windows ont été compromis par des logiciels malveillants et PtH.
Impact des attaques de passage à l’assaut
Sans surveillance, logiciel anti-malware et détection des intrusions, une attaque PtH pourrait persister pendant des mois. L’authentification des systèmes latéraux s’effectue à l’aide d’identifiants légitimes, de sorte que l’attaque passe inaperçue si une surveillance simple de l’authentification et de l’autorisation est en place. L’impact total de PtH dépend de l’autorisation du hachage.
Un hachage volé par un utilisateur hautement privilégié pourrait accorder l’accès à des informations sensibles et entraîner une violation de données importante. Les logiciels malveillants peuvent donner accès au système local à un attaquant distant, ou voler des données et les envoyer à un serveur tiers. Les données volées peuvent entraîner des amendes de conformité coûteuses et des litiges avec des coûts supplémentaires pour le confinement et l’élimination du logiciel malveillant.
Stratégies de prévention et d’atténuation
Limiter les utilisateurs aux seules données et applications nécessaires à l’exécution de leur travail est la première étape pour réduire les dommages causés par une attaque PtH. Le principe du moindre privilège contient les logiciels malveillants et les empêche d’accéder à toutes les zones de l’environnement. Les utilisateurs doivent être formés à reconnaître l’hameçonnage et les logiciels malveillants potentiels afin de réduire les incidents liés aux e-mails et sites Web malveillants. L’architecture réseau de segmentation et de hiérarchisation empêche les systèmes critiques d’être compromis par des systèmes moins sécurisés.
Les systèmes de détection et de surveillance des intrusions sont utiles pour identifier les menaces potentielles de PtH. Si un logiciel malveillant est installé sur une machine locale, la détection des intrusions identifiera les schémas de trafic suspects. De plus, la désactivation de la technologie NTLM lorsqu’elle n’est pas nécessaire rend certains logiciels malveillants inefficaces pour voler des hachages.
Outils et technologies pour la défense
Windows dispose de deux outils internes pour prévenir une attaque de passage au hachage. La protection des informations d’identification isole les hachages et place des barrières contre les logiciels malveillants et autres racleurs de mémoire. Windows dispose également d’applications anti-malware internes pour identifier les menaces connues et les empêcher de s’installer.
Microsoft propose une solution LAPS (Local Administrator Password Solution) pour imposer des mots de passe uniques aux administrateurs. Les administrateurs qui utilisent le même mot de passe dans l’environnement réseau laissent tous les systèmes avec le même mot de passe compromis après le vol d’un seul hachage. L’audit des identifiants des utilisateurs et d’Active Directory permet d’identifier les comptes avec trop d’autorisations et un accès non autorisé possible.
Conclusion
La prévention de l’injection de logiciels malveillants est la première étape pour protéger votre environnement contre toute menace, y compris PtH. Assurez-vous que vos utilisateurs sont conscients des dangers de l’hameçonnage et informez les utilisateurs hautement privilégiés sur les dangers du téléchargement de logiciels à partir de sources inconnues. Évitez d’utiliser NTLM si vous travaillez avec Windows, mais assurez-vous d’installer un logiciel anti-malware pour empêcher les logiciels malveillants PtH de voler des données si les hackers contournent la sécurité.
Si votre environnement subit une attaque PtH, Pure Storage dispose de solutions de reprise et de résilience pour faciliter la reprise des données. En savoir plus sur les snapshots SafeMode™ et comment ils peuvent vous aider à atténuer les risques.
