Los sistemas modernos almacenan contraseñas en formato hash. Un atacante puede enviar hashes robados por un sistema para autenticarse en aplicaciones privadas sin una contraseña de texto sin formato. Un ataque de pase el hash (PtH) no requiere un ataque brutal que obligue el valor hash a texto sin formato. En cambio, un atacante utiliza la sesión actual de un usuario u obtiene hashes de la memoria, generalmente del malware.
¿Qué es pasar el hash?
Cuando se crean contraseñas, el sistema operativo las almacena en la memoria mediante hashes criptográficamente seguros. La base de datos de hashes no debería ser accesible para los programas de usuarios, pero el malware está diseñado para eludir la seguridad y raspar la memoria para estas contraseñas. Después de que un usuario se autentica, la contraseña puede almacenarse en la memoria para que el usuario pueda autenticarse en aplicaciones a medida que trabajan en una máquina en particular.
Los ataques de paso del hash obtienen hashes de usuario autenticados y los usan para obtener acceso a datos o aplicaciones confidenciales en el contexto de la cuenta de usuario. Los ataques de PtH se hacen pasar por el usuario y aprovechan los protocolos de autorización como Kerberos, que se utilizan para crear tickets asignados a usuarios autorizados. Los tickets le indican al sistema que permita el acceso, por lo que con un hash de usuario, un atacante, generalmente en forma de malware, también tiene acceso a la aplicación objetivo.
Cómo funcionan los ataques de paso del hash
Los atacantes primero necesitan obtener hashes. Esto generalmente se hace a través de malware. El malware se puede entregar a un objetivo mediante descargas Drive-by o phishing, en las que los usuarios con altos privilegios son engañados para instalarlo en su sistema. Idealmente, para el atacante, un usuario con acceso de administrador al sistema instala el malware. Luego, el malware raspa la memoria de las cuentas de usuarios activos y sus hashes.
Con los hashes, el malware realiza movimientos laterales a través de la red, suplantando al usuario autenticado. La mayoría de los ataques de PtH funcionan con sistemas de inicio de sesión único (SSO) donde las mismas credenciales de usuario autentican cuentas en varios sistemas. El sistema objetivo podría validar las credenciales de usuario, pero los hashes robados resuelven este problema. Luego, el malware tiene acceso a cualquier sistema o datos como la cuenta de usuario correspondiente del hash robado.
Objetivos y vulnerabilidades comunes
Las máquinas con Windows son los objetivos más comunes para los ataques de PtH. En Windows, New Technology LAN Manager (NTLM) es un protocolo de seguridad de Microsoft que se utiliza para autorizar usuarios en varias aplicaciones de red. NTLM es vulnerable a los ataques de paso del hash (PtH) porque almacena las contraseñas de los usuarios como hashes sin sal, que es una cadena aleatoria de caracteres que se agregan a una contraseña para bloquear los ataques de fuerza bruta en el hash. Los atacantes pueden capturar fácilmente estos hashes desde un sistema comprometido y usarlos para autenticarse como usuario sin necesidad de conocer la contraseña original, lo que les permite “pasar el hash” para acceder a otros sistemas y recursos sin necesidad de descifrar la contraseña en sí. Esto hace que NTLM sea un objetivo principal para los ataques de robo de credenciales
NTLM aún está disponible para la compatibilidad retroactiva en sistemas operativos Windows más antiguos, por lo que las nuevas versiones de un controlador de dominio aún podrían ser vulnerables a PtH. Cualquier sistema operativo y servicio de Windows es vulnerable a PtH si utiliza compatibilidad retroactiva con NTLM. En 2022, los servidores de Microsoft Exchange se vieron comprometidos con un movimiento lateral después de que los servidores de Windows se vieran comprometidos por malware y PtH.
Impacto de los ataques de paso del hash
Sin monitoreo, software antimalware y detección de intrusos, un ataque de PtH podría persistir durante meses. La autenticación en sistemas laterales se realiza con credenciales legítimas, por lo que el ataque pasa desapercibido si se implementa una autenticación simple y un monitoreo de autorización. El impacto total de PtH depende de la autorización del hash.
Un hash robado de un usuario de alto privilegio podría otorgar acceso a información confidencial y provocar una gran violación de datos. El malware podría darle a un atacante remoto acceso al sistema local, o podría robar datos y enviarlos a un servidor de terceros. Los datos robados podrían dar lugar a costosas multas de cumplimiento y litigios con costos adicionales en la contención y erradicación del malware.
Estrategias de prevención y mitigación
Limitar a los usuarios solo a los datos y aplicaciones necesarios para realizar su trabajo es el primer paso para reducir el daño de un ataque de PtH. Seguir el principio de privilegios mínimos contiene malware y evita que acceda a todas las áreas del entorno. Los usuarios deben estar capacitados para reconocer la suplantación de identidad y el posible malware para reducir los incidentes derivados de correos electrónicos y sitios web maliciosos. La arquitectura de red de segmentación y niveles protege a los sistemas críticos de verse comprometidos por sistemas menos seguros.
Los sistemas de detección y monitoreo de intrusos son beneficiosos para identificar posibles amenazas de PtH. Si el malware se instala en una máquina local, la detección de intrusos identificará patrones de tráfico sospechosos. Además, deshabilitar NTLM cuando no es necesario hace que algún malware sea ineficaz para robar hashes.
Herramientas y tecnologías para la defensa
Windows tiene un par de herramientas internas para evitar un ataque de paso del hash. Credential Guard aísla hashes y coloca barreras contra malware y otros raspadores de memoria. Windows también tiene aplicaciones internas contra malware para identificar amenazas conocidas y evitar que se instalen.
Microsoft ofrece Local Administrator Password Solution (LAPS) para forzar contraseñas únicas para los administradores. Los administradores que usan la misma contraseña en todo el entorno de red dejan todos los sistemas con la misma contraseña abiertos a un riesgo después de que se roba un solo hash. La auditoría de credenciales de usuario y Active Directory puede identificar cuentas con demasiados permisos y posible acceso no autorizado.
Conclusiones
La prevención de la inyección de malware es el primer paso para proteger su entorno de cualquier amenaza, incluido PtH. Asegúrese de que sus usuarios estén al tanto de los peligros de la suplantación de identidad y eduque a los usuarios de alto privilegio sobre los peligros de descargar software de fuentes desconocidas. Evite usar NTLM si trabaja con Windows, pero asegúrese de instalar software antimalware para evitar que el malware PtH robe datos en caso de que los atacantes eludan la seguridad.
Si su entorno sufre un ataque de PtH, Pure Storage tiene soluciones de recuperación y adaptación para ayudar con la recuperación de datos. Obtenga más información sobre las snapshots de SafeMode™ y cómo pueden ayudarlo a mitigar el riesgo.
