¿Qué es un ataque Pass-the-Hash?

Pass-the-Hash (PtH) es un tipo de ataque de ciberseguridad en el que un adversario roba una credencial de usuario "hash" y la emplea para crear una nueva sesión de usuario en la misma red. A diferencia de otros ataques de robo de credenciales, un ataque Pass-the-Hash no requiere que el ciberdelincuente conozca o descifre la contraseña para obtener acceso al sistema. En su lugar, utiliza una versión de repositorio de la contraseña para iniciar una nueva sesión.

¿Qué es un hash de contraseña?

Un hash de contraseña es una función matemática unidireccional que convierte la contraseña de un usuario en una cadena de texto que no se puede revertir ni decodificar para revelar la contraseña real. En pocas palabras, las contraseñas no se almacenan como texto o caracteres, sino como símbolos hash indefinidos.

¿Por qué los ataques Pass-the-Hash son una preocupación creciente?

A medida que más organizaciones aprovechan la tecnología de inicio de sesión único (SSO) para habilitar una plantilla remota y reducir la fricción en la experiencia del usuario, los ciberdelincuentes han llegado a reconocer la vulnerabilidad inherente de las contraseñas de repositorio y las credenciales de usuario.

Los ataques basados en la identidad, como los ataques Pass-the-Hash, en los que los adversarios se hacen pasar por usuarios legítimos, son particularmente difíciles de detectar porque la mayoría de las soluciones de ciberseguridad tradicionales no pueden diferenciar entre un usuario real y un ciberdelincuente que lo suplanta.

La protección contra ataques Pass-the-Hash es fundamental porque esta técnica suele servir como puerta de entrada a otros problemas de seguridad más graves, como las brechas de datos, el robo de identidad y el malware o los ataques de ransomware.

¿Cómo funciona un ataque Pass-the-Hash?

En un ataque Pass-the-Hash, el ciberdelincuente normalmente obtiene acceso a la red a través de una técnica de ingeniería social, como el phishing, que es cuando se aprovecha de las emociones de otra persona, como el miedo, la empatía o la codicia, para convencerla de que comparta información personal o descargue un archivo malicioso.

Una vez que el ciberdelincuente obtiene acceso a la cuenta del usuario, utiliza varias herramientas y técnicas que extraen la memoria activa para derivar datos que lo conducirán a los hashes.

Armado con uno o más hashes de contraseña válidos, el ciberdelincuente obtiene acceso completo al sistema, lo que le permite el movimiento lateral a través de la red. A medida que el ciberdelincuente se hace pasar por el usuario de una aplicación a la siguiente, a menudo se dedica a recolectar hashes: acumula hashes adicionales en todo el sistema que pueden usarse para acceder a más áreas de la red, añadir privilegios de cuenta, atacar una cuenta privilegiada y configurar una puerta trasera y otras pasarelas para permitir el acceso futuro.

¿Quién es vulnerable a los ataques Pass-the-Hash?

Los clientes de servidores Windows y las organizaciones que utilizan Windows New Technology LAN Manager (NTLM), en particular, se encuentran entre los objetivos más vulnerables a los ataques Pass-the-Hash.

NTLM es un conjunto de protocolos de seguridad de Microsoft que autentican la identidad de los usuarios y protegen la integridad y confidencialidad de su actividad. En esencia, NTLM es una herramienta SSO que se basa en un protocolo de desafío-respuesta para confirmar al usuario sin requerirle que envíe una contraseña, proceso conocido como autenticación NTLM.

NTLM tenía varias vulnerabilidades de seguridad conocidas relacionadas con el hash y el salado de contraseñas. En NTLM, las contraseñas almacenadas en el servidor y el controlador de dominio no están "saladas", lo que significa que no se agrega una cadena aleatoria de caracteres a la contraseña a la que se aplica el hash para protegerla aún más frente a técnicas de descifrado. De ese modo, el adversario que posee un hash de contraseña no necesita la contraseña subyacente para autenticar una sesión.

La criptografía de NTLM tampoco aplica los nuevos avances en algoritmos y cifrado, que mejoran significativamente las capacidades de seguridad.

Aunque NTLM se reemplazó como protocolo de autenticación predeterminado en Windows 2000 y los dominios de Active Directory (AD) posteriores por Kerberos, aún se mantiene en todos los sistemas Windows con fines de compatibilidad entre clientes y servidores más antiguos. Por ejemplo, los equipos que aún ejecutan Windows 95, Windows 98 o Windows NT 4.0 utilizarán el protocolo NTLM para la autenticación de red con un dominio de Windows 2000. Por otro lado, los equipos que ejecutan Windows 2000 utilizarán NTLM al autenticar servidores con Windows NT 4.0 o anterior, así como al acceder a recursos en dominios de Windows 2000 o anterior. NTLM también se utiliza para autenticar inicios de sesión locales con servidores que no son controladores de dominio.

Ejemplo de un ataque Pass-the-Hash reciente

En abril de 2022, una plataforma de ransomware como servicio (RaaS) llamada Hive aprovechó una técnica de Pass-the-Hash para promover un ataque coordinado cuyo objetivo fueron una gran cantidad de clientes de Microsoft Exchange Server, incluidos varios pertenecientes a los sectores de energía, servicios financieros, organizaciones sin ánimo de lucro y atención sanitaria.

El ataque aprovechó una vulnerabilidad particular de Microsoft Exchange Server conocida como ProxyShell. Aunque Microsoft solucionó rápidamente esta vulnerabilidad, muchas empresas no habían actualizado su software y quedaron expuestas.

Los ciberdelincuentes aprovecharon la vulnerabilidad de ProxyShell para introducir un script web de puerta trasera que se utilizó para ejecutar código malicioso en Exchange Server. A continuación, tomaron el control del sistema mediante la técnica Pass-the-Hash, utilizando Mimikatz para robar el hash NTLM. Tras ello, Hive realizó un reconocimiento en el servidor, recopiló datos y desplegó la payload del ransomware.

Mitigación de los ataques Pass-the-Hash

Para prevenir los ataques Pass-the-Hash a nivel empresarial, las organizaciones deben comprender que las prácticas recomendadas tradicionales en materia de seguridad, como establecer requisitos de contraseñas seguras y supervisar múltiples intentos de inicio de sesión, ofrecerán una ayuda limitada en lo que respecta a este método de ataque concreto. Por suerte, existen otras medidas efectivas que las empresas pueden tomar para prevenir los ataques Pass-the-Hash y limitar su impacto:

1. Limitar el acceso a la red y los privilegios de la cuenta

Las organizaciones también deben tomar medidas para limitar el acceso a la red a fin de contener el movimiento de los hackers y reducir los daños. Algunas técnicas para ello son:

• Principio del mínimo de privilegios (POLP): el principio del mínimo de privilegios (POLP) es un concepto de seguridad informática y una práctica que proporciona a los usuarios derechos de acceso limitados en función de las tareas necesarias para su puesto de trabajo. Garantiza que solo los usuarios autorizados y con identidades verificadas tengan los permisos necesarios para realizar trabajos dentro de una serie de sistemas, aplicaciones, datos y recursos. Se considera una de las prácticas más efectivas para reforzar la posición de ciberseguridad de una organización porque permite a las organizaciones controlar y monitorizar el acceso a la red y a los datos.
• Zero Trust: Zero Trust es un marco de seguridad que requiere autenticación, autorización y validación continua de todos los usuarios (ya sean internos o externos a la organización) antes de recibir acceso a las aplicaciones y a los datos. Combina tecnologías avanzadas como la autenticación MFA basada en riesgos, la protección de identidad, la seguridad de endpoints de nueva generación y tecnología robusta de carga de trabajo en la nube para verificar la identidad de un usuario o sistema, considerar si otorgar acceso en ese momento y mantener la seguridad del sistema. El modelo Zero Trust también abarca la posibilidad de cifrar datos, proteger el correo electrónico y evaluar el estado de los recursos y los endpoints antes de conectarlos a las aplicaciones.
• Gestión de acceso con privilegios (PAM): la gestión de acceso con privilegios (PAM) es una estrategia de ciberseguridad que se centra en mantener la seguridad de las credenciales con privilegios de una cuenta de administrador.
• Segmentación de identidades: la segmentación de identidades es un método que restringe el acceso a aplicaciones o recursos en función de la identidad.
• Reducción de la superficie de ataque: es aconsejable deshabilitar los protocolos tradicionales, como NTLM, que tienen vulnerabilidades conocidas y suelen ser el objetivo de los adversarios.

2. Implementar una solución de detección y respuesta ante amenazas de identidad

Una solución integral de detección y respuesta ante amenazas de identidad (ITDR) como Falcon Identity Protection puede ayudar a mitigar el riesgo de que un adversario aproveche un ataque Pass-the-Hash para comenzar a moverse lateralmente o a intentar conectarse a un controlador de dominio de AD a través de RDP. Con un sensor en el controlador de dominio de AD que puede ver todo el tráfico de autenticación, así como con visibilidad en el endpoint, una solución de este tipo puede correlacionar las amenazas entre los endpoints y la capa de identidad para evitar que el adversario siga adelante. Alternativamente, puede introducir fricción en forma de un desafío de autenticación MFA fuera de banda que el adversario no puede superar.

Si bien las soluciones de autenticación MFA por sí solas no pueden abordar un ataque en el que el adversario ha obtenido el hash de la contraseña, Falcon Identity Protection puede activar un flujo de autenticación MFA tan pronto como detecte un comportamiento anómalo o una amenaza basada en la identidad; por ejemplo, una solicitud que provenga de un endpoint no utilizado previamente o un usuario que intente ejecutar algo en el proceso del servicio de subsistema de autoridad de seguridad local (LSASS). Esto garantiza que el adversario no pueda hacer más daño incluso si pudiera iniciar con éxito el ataque PtH.

3. Imponer higiene de TI

Una herramienta de higiene de TI proporciona visibilidad sobre el uso de credenciales en toda la organización para detectar actividades administrativas potencialmente maliciosas. La función de monitorización de cuentas permite a los equipos de seguridad comprobar la presencia de cuentas privilegiadas creadas por atacantes para mantener el acceso. También ayudará a garantizar que las contraseñas se cambien regularmente, para que las credenciales robadas no puedan usarse para siempre.

4. Realizar pruebas de penetración periódicas

Las pruebas de penetración, a veces denominadas hacking ético o "pen testing", son otro paso importante que las organizaciones pueden tomar para protegerse de ataques basados en la identidad, como los ataques Pass-the-Hash. Las pruebas de penetración simulan una variedad de ciberataques reales para poner a prueba las capacidades de ciberseguridad de una organización y exponer las vulnerabilidades. Incluyen identificación del sistema, enumeración, descubrimiento de vulnerabilidades, explotación, elevación de privilegios, movimiento lateral y objetivos.

5. Adoptar un Threat Hunting proactivo

El Threat Hunting verdaderamente proactivo, como es el caso de CrowdStrike Falcon®OverWatch™, permite la búsqueda ininterrumpida de amenazas y ataques desconocidos y sigilosos que emplean credenciales robadas y se lanzan suplantando la identidad de usuarios legítimos. Precisamente este tipo de ataques son los que las medidas tradicionales pueden pasar por alto. Al emplear la experiencia adquirida en su lucha diaria contra atacantes sofisticados que recurren a amenazas persistentes avanzadas (APT), el equipo de OverWatch encuentra y rastrea millones de pistas sutiles a diario para validar si son legítimas o maliciosas, alertando a los clientes cuando es necesario.