Ataque Pass-the-Hash

O que é um ataque pass-the-hash?

Pass the Hash - PtH é um tipo de ataque de cibersegurança no qual um adversário rouba um “hash” de credenciais de usuário e usa para criar uma nova sessão de usuário na mesma rede. Ao contrário de outros ataques de roubo de credenciais, um ataque "pass the hash" não exige que o invasor saiba ou quebre a senha para obter acesso ao sistema. Em vez disso, ele usa uma versão armazenada da senha para iniciar uma nova sessão.

O que é um hash de senha?

É uma função matemática de sentido único que converte a senha de um usuário em uma sequência de texto que não pode ser revertida ou decifrada para revelar a senha original. Em outras palavras, senhas não são armazenadas como texto ou caracteres legíveis, mas sim como símbolos de hash não identificáveis.

Por que os ataques pass-the-hash são uma ameaça crescente?

Com a crescente adoção de tecnologias de Login Único (SSO) pelas organizações para facilitar o trabalho remoto e melhorar a experiência da força de trabalho, os invasores passaram a identificar a vulnerabilidade inerente ao armazenamento de senhas e credenciais de usuário.

Ataques baseados em identidade, tais como ataques pass-the-hash, nos quais os adversários se fazem passar por usuários legítimos, são particularmente difíceis de detectar, porque as soluções de cibersegurança tradicionais, em sua maioria, não conseguem distinguir um usuário real de um invasor disfarçado.

A proteção contra ataques pass-the-hash é de suma importância, porque essa técnica é frequentemente usada como porta de entrada para outros problemas de segurança mais graves, como comprometimento de dados, roubo de identidade e ataques de malware ou ransomware.

Como funciona um ataque pass-the-hash?

Em um ataque pass-the-hash, o invasor geralmente tem o acesso inicial à rede através de uma técnica de engenharia social, tal como o phishing, uma prática em que um ciber criminoso manipula as emoções de outra pessoa, se valendo de sentimentos como medo, empatia ou ganância, com o objetivo de convencê-la a compartilhar informações pessoais ou baixar arquivos maliciosos.

Depois de ter acesso à conta do usuário, o invasor usa várias ferramentas e técnicas para extrair dados da memória ativa que o levam aos hashes de senha.

Munido de um ou mais hashes de senha válidos, o invasor tem acesso total ao sistema, possibilitando o movimento lateral pela rede. Ao se passar pelo usuário em várias aplicações, o invasor realiza a coleta de hashes — acumulando hashes adicionais em todo o sistema. Esses hashes podem ser usados para acessar mais áreas da rede, elevar privilégios de contas, atacar contas privilegiadas e estabelecer backdoors e outros pontos de acesso para usar no futuro.

Quem está vulnerável a ataques pass-the-hash?

Clientes de servidores Windows e organizações que usam o Windows New Technology LAN Manager (NTLM) estão entre os alvos mais vulneráveis a esses ataques.

NTLM é um conjunto de protocolos de segurança da Microsoft que autenticam a identidade dos usuários e garantem a integridade e confidencialidade das atividades. Essencialmente, o NTLM é uma ferramenta de SSO que depende de um protocolo de desafio-resposta para confirmar o usuário sem exigir que ele envie uma senha, um processo conhecido como autenticação NTLM.

O NTLM é suscetível a diversas vulnerabilidades de segurança conhecidas relacionadas ao sal e hash de senha. No NTLM, as senhas armazenadas no servidor e no controlador de domínio não são “salgadas” — ou seja, nenhuma cadeia aleatória de caracteres é adicionada à senha com hash para oferecer ainda mais proteção contra técnicas de quebra. Por isso, os adversários com um hash de senha não precisam da senha subjacente para autenticar uma sessão.

A criptografia do NTLM também não aproveita as inovações em algoritmos e criptografia que melhoram bastante as capacidades de segurança.

Apesar do NTLM ter sido substituído pelo Kerberos como protocolo de autenticação padrão no Windows 2000 e em domínios do Active Directory (AD) posteriores, ele ainda está presente em todos os sistemas Windows para garantir a compatibilidade com clientes e servidores mais antigos. Por exemplo, os computadores que ainda executam o Windows 95, Windows 98 ou Windows NT 4.0 usarão o protocolo NTLM para realizar a autenticação de rede com um domínio do Windows 2000. Já os computadores que executam o Windows 2000 usarão o NTLM ao autenticar servidores com o Windows NT 4.0 ou anterior e acessar recursos em domínios do Windows 2000 ou anterior. O NTLM também é usado para autenticar logins locais com controladores que não sejam de domínio.

Destaque de um ataque pass-the-hash recente

Em abril de 2022, uma plataforma de ransomware como serviço (RaaS) chamada Hive usou a técnica pass-the-hash para coordenar um ataque contra um grande número de clientes do Microsoft Exchange Server, abrangendo setores como energia, serviços financeiros, organizações sem fins lucrativos e saúde.

O ataque se aproveitou de uma vulnerabilidade específica do Microsoft Exchange Server denominada ProxyShell. Embora a Microsoft tenha disponibilizado rapidamente uma correção para a vulnerabilidade, muitas empresas não atualizaram seus softwares e ficaram vulneráveis.

Os invasores se aproveitaram da vulnerabilidade ProxyShell para implantar um script web de backdoor, que foi usado para executar códigos maliciosos no servidor Exchange. Em seguida, os eles assumiram o controle do sistema com a técnica pass-the-hash, usando a ferramenta Mimikatz para roubar o hash NTLM. O Hive então realizou um reconhecimento no servidor, coletou dados e implementou a payload do ransomware.

Mitigação de ataques pass-the-hash

Para impedir ataques pass-the-hash no nível da empresa, as organizações precisam entender que as práticas recomendadas tradicionais de segurança, como impor requisitos de senhas fortes e monitorar tentativas seguidas de login não vão ajudar muito neste caso. Felizmente, as empresas podem tomar várias outras medidas para evitar ataques pass-the-hash e limitar o impacto deles:

1. Limitar o acesso à rede e os privilégios das contas.

Organizações também precisam adotar medidas para limitar o acesso à rede de forma a conter o movimento do hacker e reduzir os danos causados. Algumas técnicas incluem:

• Princípio do privilégio mínimo: o POLP, na sigla em inglês, é um conceito e prática de segurança informática que concede aos usuários direitos de acesso limitados com base nas tarefas necessárias para o trabalho deles. Ele garante que só usuários autorizados cujas identidades tenham sido verificadas tenham as permissões necessárias para trabalhar em determinados sistemas, aplicações, dados e outros ativos. O POLP é amplamente reconhecido como uma das práticas mais efetivas para fortalecer a postura de cibersegurança das organizações, porque possibilita o controle e o monitoramento do acesso aos dados e à rede.
• Zero Trust: é um framework de segurança em que todos os usuários (de dentro ou fora da rede da organização) precisam ser autenticados, autorizados e validados continuamente antes de receberem acesso a aplicações e dados. Ele combina tecnologias avançadas, como autenticação multifatorial (MFA) baseada em risco, proteção de identidade, segurança de endpoint de última geração e tecnologia robusta de workload na nuvem, para verificar a identidade de usuários ou sistemas, avaliar o contexto de acesso no momento da solicitação e manter a segurança do sistema. O Zero Trust também exige considerações sobre criptografia de dados, segurança do e-mail e verificação da higiene de ativos e endpoints antes que eles se conectem às aplicações.
• Gerenciamento de contas privilegiadas (PAM): é uma estratégia de cibersegurança que visa manter a segurança das credenciais privilegiadas de contas de administrador.
• Segmentação de identidade: é um método para restringir o acesso dos usuários a aplicações ou recursos baseados em identidades.
• Reduzir a superfície de ataque:  desativar protocolos legados como o NTLM, que possuem vulnerabilidades conhecidas e são normalmente explorados por adversários.

2. Implementar uma solução de detecção e resposta de ameaça a identidades

Uma solução abrangente de detecção e resposta de ameaça a identidades (ITDR), como o CrowdStrike Falcon® Identity Protection, pode ajudar a mitigar o risco de um adversário explorar um ataque pass-the-hash para iniciar movimentos laterais ou tentar se conectar a um Controlador de Domínio do Active Directory (AD) pelo RDP. Com um sensor no controlador de domínio AD capaz de monitorar todo o tráfego de autenticação e gerar visibilidade dos endpoints, essa solução pode correlacionar ameaças entre endpoints e a camada de identidade, impedindo o avanço dos adversários. Por outro lado, ela pode introduzir uma barreira na forma de uma autenticação multifatorial (MFA) de banda que o adversário não consegue contornar.

Embora as soluções de MFA, por si só, não sejam suficientes para combater ataques nos quais o adversário tem o hash da senha, o CrowdStrike Falcon® Identity Protection pode acionar um fluxo de autenticação multifatorial (MFA) assim que detectar comportamentos anômalos ou ameaças baseadas em identidade, tais como solicitações originadas de endpoints não usados anteriormente ou tentativas de execução de processos no LSASS (Serviço de Subsistema de Autoridade de Segurança Local). Dessa forma, o adversário não consegue causar mais danos, mesmo que tenha iniciado o ataque PtH com sucesso.

3. Impor exigências de higiene de TI.

Uma ferramenta de higiene de TI proporciona visibilidade sobre o uso de credenciais em toda a organização para detectar atividades administrativas potencialmente maliciosas. A funcionalidade de monitoramento de contas permite que as equipes de segurança verifiquem a presença de contas privilegiadas criadas por invasores para manter o acesso. Isso também ajudará a garantir que as senhas sejam alteradas regularmente, para que credenciais roubadas não possam ser usadas indefinidamente.

4. Realizar testes de penetração com frequência.

Testes de penetração, também chamados de "pen testing" ou hacking ético, constituem uma etapa fundamental para que as organizações se protejam contra ataques baseados em identidade, tais como o pass the hash. O "pen testing" simula vários ciber ataques reais para testar as capacidades de cibersegurança de uma organização e expor vulnerabilidades. O teste inclui identificação do sistema, enumeração, descoberta de vulnerabilidade, exploração, elevação de privilégios, movimento lateral e objetivos.

5. Adotar a prática de investigação de ameaças proativa.

Uma investigação de ameaças verdadeiramente proativa, tal como o CrowdStrike Falcon® OverWatch™, permite a realização de buscas 24 horas por dia por ataques desconhecidos e sigilosos que usam credenciais roubadas e são conduzidos sob o disfarce de usuários legítimos. Estes são os tipos de ataques que as medidas de segurança padrão podem acabar deixando passar. Com a experiência adquirida no "combate diário" contra atores sofisticados de Ameaças Persistentes Avançadas (APTs), as equipes OverWatch encontram e rastreiam milhões de pistas de investigação sutis todos os dias, validando a legitimidade delas e alertando os clientes quando necessário.