Ataques que realizam movimentação lateral
Um ataque Pass-the-Hash (PtH) é uma técnica pela qual um invasor captura um hash de senha (em oposição aos caracteres da senha) e então simplesmente o passa para autenticação e acesso potencialmente lateral a outros sistemas em rede. O ator da ameaça não precisa descriptografar o hash para obter uma senha em texto simples. Os ataques PtH exploram o protocolo de autenticação, pois o hash das senhas permanece estático para cada sessão até que a senha seja girada. Os invasores geralmente obtêm hashes raspando a memória ativa de um sistema e outras técnicas.
Embora os ataques Pass-the-Hash (PtH) possam ocorrer no Linux, Unix e outras plataformas, eles são mais prevalentes em sistemas Windows. No Windows, o PtH explora o Single Sign-On (SS0) por meio do NT Lan Manager (NTLM), Kerberos e outros protocolos de autenticação. Quando uma senha é criada no Windows, ela é hash e armazenada no Gerenciador de contas de segurança (SAM), na memória do processo do Subsistema de autoridade de segurança local (LSASS), no armazenamento do Credential Manager (CredMan), em um banco de dados ntds.dit no Active Directory ou em outro lugar. Portanto, quando um usuário faz logon em uma estação de trabalho ou servidor Windows, ele basicamente deixa para trás suas credenciais de senha.
Como você evita ataques pass-the-Hash
Para que um ataque PtH seja bem-sucedido, o perpetrador deve primeiro obter acesso administrativo local em um computador para remover o hash. Uma vez que o invasor tenha um ponto de apoio, ele pode se mover lateralmente com relativa facilidade, levantando mais credenciais e escalando privilégios ao longo do caminho.
Implementar as seguintes práticas recomendadas de segurança ajudará a eliminar, ou pelo menos minimizar o impacto de um ataque PtH:
Um modelo de segurança com privilégios mínimos: pode limitar o escopo e mitigar o impacto de um ataque PtH, reduzindo a capacidade dos invasores de escalar o acesso e as permissões com privilégios. Remover direitos de administrador desnecessários ajudará muito na redução da superfície de ameaça para PtH e muitos outros tipos de ataques.
Soluções de gerenciamento de senha: Pode alternar senhas com freqüência (e / ou após um comprometimento de credencial conhecido) pode condensar a janela de tempo durante a qual um hash roubado pode ser válido. Ao automatizar a rotação de senha para ocorrer após cada sessão privilegiada, você pode impedir completamente os ataques PtH e explorações que dependem da reutilização de senha.
Separação de privilégios: significa separar diferentes tipos de contas privilegiadas e não privilegiadas, pode reduzir o escopo de uso para contas de administrador e, assim, reduzir o risco de comprometimento, bem como a oportunidade de movimento lateral.