Moderne systemen slaan wachtwoorden op in gehashte vorm. Een aanvaller kan een door het systeem gestolen hashes verzenden om zich te verifiëren in privétoepassingen zonder een plattekstwachtwoord. Een pass-the-hash (PtH)-aanval vereist niet dat de hashwaarde bruut wordt gedwongen tot platte tekst. In plaats daarvan gebruikt een aanvaller de huidige sessie van een gebruiker of haalt hij hashes uit het geheugen, meestal van malware.
Wat is Pass the Hash?
Wanneer wachtwoorden worden aangemaakt, slaat het besturingssysteem ze op in het geheugen met behulp van cryptografische beveiligde hashes. De database van hashes zou niet toegankelijk moeten zijn voor gebruikersprogramma's, maar malware is ontworpen om beveiliging te omzeilen en geheugen voor deze wachtwoorden te schrapen. Nadat een gebruiker zich heeft geverifieerd, kan het wachtwoord in het geheugen worden opgeslagen, zodat de gebruiker zich kan verifiëren in toepassingen terwijl hij op een bepaalde machine werkt.
Pass-the-hash-aanvallen verkrijgen geverifieerde gebruikershashs en gebruiken ze om toegang te krijgen tot gevoelige data of applicaties in de context van het gebruikersaccount. PtH-aanvallen doen zich in wezen voor als de gebruiker en profiteren van autorisatieprotocollen zoals Kerberos, die worden gebruikt om tickets te maken die zijn toegewezen aan geautoriseerde gebruikers. Tickets vertellen het systeem toegang te verlenen, dus met een gebruikershash heeft een aanvaller - meestal in de vorm van malware - ook toegang tot de doelapplicatie.
Hoe Pass-the-hash-aanvallen werken
Aanvallers moeten eerst hashes krijgen. Dit gebeurt meestal via malware. Malware kan aan een doel worden geleverd met behulp van drive-by downloads of phishing, waarbij bevoorrechte gebruikers worden misleid om het op hun systeem te installeren. Idealiter installeert een gebruiker met beheerderstoegang tot het systeem de malware voor de aanvaller. De malware schraapt vervolgens het geheugen weg voor actieve gebruikersaccounts en hun hashes.
Met hashes maakt de malware vervolgens laterale bewegingen over het netwerk, waarbij hij zich voordoet als de geverifieerde gebruiker. De meeste PtH-aanvallen werken met SSO-systemen (Single Sign-On) waarbij dezelfde gebruikersgegevens accounts in meerdere systemen verifiëren. Het doelsysteem kan gebruikersgegevens valideren, maar de gestolen hashes lossen dit probleem op. Malware heeft dan toegang tot elk systeem of elke data als het bijbehorende gebruikersaccount van de gestolen hash.
Veelvoorkomende doelen en kwetsbaarheden
Windows-machines zijn de meest voorkomende doelwitten voor PtH-aanvallen. In Windows is New Technology LAN Manager (NTLM) een Microsoft-beveiligingsprotocol dat wordt gebruikt om gebruikers in meerdere netwerktoepassingen te autoriseren. NTLM is kwetsbaar voor pass-the-hash (PtH)-aanvallen omdat het gebruikerswachtwoorden opslaat als hashes zonder een zout, wat een willekeurige reeks tekens is die aan een wachtwoord wordt toegevoegd om brute-force-aanvallen op de hash te blokkeren. Aanvallers kunnen deze hashes gemakkelijk vangen vanuit een gecompromitteerd systeem en ze gebruiken om zich als gebruiker te authenticeren zonder het oorspronkelijke wachtwoord te hoeven kennen, waardoor ze effectief "de hash kunnen passeren" om toegang te krijgen tot andere systemen en bronnen zonder het wachtwoord zelf te hoeven kraken. Dit maakt NTLM een belangrijk doelwit voor aanvallen van identiteitsdiefstal
NTLM is nog steeds beschikbaar voor achterwaartse compatibiliteit op oudere Windows-besturingssystemen, dus nieuwe versies van een domeincontroller kunnen nog steeds kwetsbaar zijn voor PtH. Elk Windows-besturingssysteem en -service is kwetsbaar voor PtH als het achterwaartse compatibiliteit met NTLM gebruikt. In 2022 werden Microsoft Exchange-servers gecompromitteerd door middel van een laterale verplaatsing nadat Windows-servers waren gecompromitteerd door malware en PtH.
Impact van Pass-the-hash-aanvallen
Zonder monitoring, anti-malwaresoftware en inbraakdetectie kan een PtH-aanval maanden aanhouden. Authenticatie in laterale systemen wordt uitgevoerd met behulp van legitieme inloggegevens, zodat de aanval onopgemerkt blijft als eenvoudige authenticatie- en autorisatiebewaking is ingesteld. De totale impact van PtH hangt af van de toestemming van de hash.
Een gestolen hash van een bevoorrechte gebruiker kan toegang verlenen tot gevoelige informatie en leiden tot een grote datalek. Malware kan een aanvaller op afstand toegang geven tot het lokale systeem, of het kan data stelen en naar een server van derden sturen. Gestolen data kunnen leiden tot kostbare boetes voor naleving en rechtszaken met extra kosten voor het indammen en uitroeien van de malware.
Preventie- en beperkingsstrategieën
Het beperken van gebruikers tot alleen de data en applicaties die nodig zijn om hun werk uit te voeren is de eerste stap om schade door een PtH-aanval te verminderen. Het volgen van het least-privilege-principe bevat malware en voorkomt dat het toegang krijgt tot alle gebieden van de omgeving. Gebruikers moeten worden opgeleid om phishing en potentiële malware te herkennen om incidenten als gevolg van kwaadaardige e-mails en websites te verminderen. Segmentering en tiering van netwerkarchitectuur beschermt bedrijfskritische systemen tegen aantasting door minder veilige systemen.
Inbraakdetectie- en bewakingssystemen zijn nuttig voor het identificeren van potentiële bedreigingen van PtH. Als malware op een lokale machine wordt geïnstalleerd, zal inbraakdetectie verdachte verkeerspatronen identificeren. Het uitschakelen van NTLM wanneer het niet nodig is, maakt sommige malware ook ondoeltreffend in het stelen van hashes.
Tools en technologieën voor defensie
Windows heeft een paar interne tools om een pass-the-hash-aanval te voorkomen. Credential Guard isoleert hashes en plaatst barrières tegen malware en andere geheugenschrapers. Windows heeft ook interne anti-malwaretoepassingen om bekende bedreigingen te identificeren en te voorkomen dat ze worden geïnstalleerd.
Microsoft biedt Local Administrator Password Solution (LAPS) om unieke wachtwoorden voor beheerders af te dwingen. Beheerders die hetzelfde wachtwoord gebruiken in de netwerkomgeving laten alle systemen met hetzelfde wachtwoord open voor een compromis nadat één hash is gestolen. Het controleren van gebruikersgegevens en Active Directory kan accounts identificeren met te veel machtigingen en mogelijke onbevoegde toegang.
Conclusie
Preventie van malware-injectie is de eerste stap in het beschermen van uw omgeving tegen elke bedreiging, inclusief PtH. Zorg ervoor dat uw gebruikers zich bewust zijn van phishing-gevaren en leer gebruikers met een hoog privilege over de gevaren van het downloaden van software uit onbekende bronnen. Vermijd het gebruik van NTLM als u met Windows werkt, maar zorg ervoor dat u anti-malwaresoftware installeert om te voorkomen dat PtH-malware data steelt als aanvallers de beveiliging omzeilen.
Als uw omgeving te maken krijgt met een PtH-aanval, heeft Pure Storage herstel- en veerkrachtoplossingen om te helpen met data recovery. Lees meer over SafeMode™ Snapshots en hoe ze u kunnen helpen risico's te beperken.
