Quella del Pass the Hash è una tecnica di hacking che consente ad un utente malintenzionato di autenticarsi su più sistemi di una stessa rete pur senza conoscere direttamente le credenziali della vittima, semplicemente usando il nome utente e la password offuscata, senza il bisogno di crackarla.
Utilizzata per la prima volta nel 1997, questa tecnica di attacco ha subìto solo qualche variazione (Pass the Ticket) diventando ancora più potente con l’avanzamento tecnologico e, sebbene poco conosciuta, continua ancora oggi a fare impazzire medie e grandi imprese.
Queste ultime, infatti, utilizzano un sistema centralizzato che permette la facile condivisione di file, cartelle ed utenze. Inoltre, attraverso un sistema di identificazione unica (chiamato Single Sign-On) è possibile effettuare una sola autenticazione valida per più sistemi software o risorse informatiche alle quali un particolare utente è abilitato a livello aziendale.
Tutte queste “comodity” che ogni dipendente o dirigente aziendale ha a disposizione, comportano tante problematiche di sicurezza. Una di queste è, per l’appunto, il Pass the Hash.
Indice degli argomenti
Pass the Hash: come funziona la tecnica di hacking
Grazie alla tecnica di hacking del Pass the Hash è possibile acquisire i privilegi di tutti gli utenti che si sono connessi alla macchina compromessa e, man mano, utilizzare quei privilegi per muoversi lateralmente nella rete locale alla quale la macchina stessa è connessa applicando il medesimo attacco.
Per ogni nuova macchina della quale si prende il controllo si ha la possibilità di muoversi anche in maniera verticale (Vertical Privilege Escalation o Escalation of Privilege, EoP) se dalla macchina si riesce a recuperare l’hash generato dal login di un utente di grado amministrativo maggiore.
Lo scopo principale è riuscire ad ottenere il controllo del server centrale che, in ambiente Microsoft, sotto un dominio di Active Directory, è chiamato Domain Controller.
Le più grandi e famose campagne APT (Advanced Persistent Threat) utilizzano questa tecnica di furto e riuso delle credenziali come post exploitation technique, quindi dopo aver preso possesso di un sistema informatico con le autorizzazioni di amministratore locale della macchina.
In ambiente Microsoft Windows 10 e Windows Server 2016, aggiornati al momento in cui si scrive, l’attacco Pass the Hash è reso ancor più semplice con l’uso di un software gratuito e sempre aggiornato, Mimikatz, grazie al quale è possibile effettuare sia il furto che il riuso delle credenziali all’interno di uno o più domini con Active Directory.
Una piccola curiosità: per chiunque sia appassionato di Mr. Robot, una volta letto questo articolo, sarebbe interessante riguardare la puntata 2×06.
Crackare le password non serve più
Ciò che rende questa tecnica di hacking così potente, è il fatto che il cyber criminale non deve conoscere la password vera e propria della vittima: gli basterà rubare l’hash della password dalla memoria di un processo (LSASS.exe in ambiente Microsoft).
Tutto questo è attuabile proprio grazie ad una di quelle “comodity” di cui si parlava poc’anzi: il Single Sign-On. Esso funziona proprio adoperando gli hash delle password anziché le password in chiaro come metodo di identificazione unica di ogni utente.
La slide seguente, utilizzata dal CTO di Microsoft Azure, Mark Russinovich, durante i lavori della RSA Conference del 2014, esplica molto bene ciò che è stato esposto poc’anzi.
Mitigare o prevenire un attacco Pass the Hash
Come accade abitualmente, per prevenire questo genere di attacchi, la spesa in MD (Man Days) a livello difensivo è tante volte più alta rispetto alla spesa per effettuare questo tipo di attacchi. In poche parole, difendersi costa molto di più che attaccare.
L’unico modo per azzerare del tutto il rischio di subire un attacco di tipo Pass the Hash sarebbe quello di non utilizzare il Single Sign-On, ma naturalmente non è possibile eliminare tale sistema poiché risulta molto comodo e rende la gestione degli utenti e dei servizi di rete più semplice e più veloce.
Esistono però delle remediation attuabili, molto costose, ma alle volte capaci anche di prevenire molte altre tipologie di cyber attacchi.
In particolare, per eludere attacchi di questo genere i più esperti del settore consigliano dei buoni sistemi di IDS (Intrusion Detection System) e IPS (Intrusion Prevention System).
Grazie ad essi, usando i sistemi Host-based (HIDS / HIPS) e Network-based (NIDS, NIPS), è possibile monitorare in tempo reale tutti i comportamenti anomali e ricevere notifiche nel qual caso si rilevino delle anomalie rispetto alla regolare condotta.
I nuovi IDS ed IPS nascono già con un sistema basato sull’intelligenza artificiale capace di imparare in poco tempo grandi quantità di dati e capire, spesso in anticipo rispetto all’uomo, dove c’è un reale pericolo e dove, invece, vi è un falso positivo.
Grazie all’uso di SIEM (Security Information and Event Management), inoltre, è possibile avere una gestione dei logs tale da riuscire a risalire ai movimenti laterali compiuti dai cyber criminali e della loro Elevation of Privilege.
