La recente campagna di attacco globale denominata Hafnium che ha colpito i server Microsoft Exchange con quattro diverse vulnerabilità zero-day ha portato alla ribalta le tecniche malevoli di credential dumping (dumping delle credenziali).
Indice degli argomenti
In cosa consiste la tecnica del credential dumping
In particolare, secondo le analisi di Microsoft, uno o più gruppi di aggressori è stato in grado di sfruttare queste vulnerabilità, ottenere accessi a diversi sistemi e installare web shell.
Non appena le web shell vengono installate, gli attaccanti utilizzano tecniche di credential dumping per ottenere username e password da utilizzare nel corso di attività di escalation di privilegi e di movimenti laterali all’interno delle organizzazioni colpite.
Il dump delle credenziali è un metodo per accedere alle credenziali di un utente salvate in memoria ed è una tecnica molto utilizzata oggi sia da diversi gruppi APT State Sponsored sia da gruppi motivati finanziariamente (FIN). Le credenziali ottenute possono essere utilizzate per facilitare i movimenti laterali e l’escalation dei privilegi all’interno della rete della vittima.
I computer, infatti, si basano sull’uso di credenziali per molte funzioni critiche, tra cui verifica degli utenti che accedono ai diversi dispositivi, la gestione della modifica delle password e la creazione di token di accesso. Questi esempi fanno ben capire per quale motivo prevenire un’attività come il dumping delle credenziali sia fondamentale.
Gli strumenti per prevenire un attacco
Per prevenire il credential dumping e fermare sul nascere le mosse degli attaccanti è utile adottare una efficace soluzione di endpoint security dotata di un motore di analisi dei processi in grado di intercettare eventuali attività illecite sui sistemi, siano essi server, desktop o laptop.
Grazie, ad esempio, al motore Process Guard integrato in FireEye Endpoint Security è possibile impedire il dumping e l’esfiltrazione delle credenziali: in questo modo, anche le organizzazioni che sono state compromesse e che magari non hanno installato tutte le patch per i server Exchange rilasciati da Microsoft, possono disporre di un livello di protezione ulteriore verso questa tipologia di attacco.
Come funzionano i sistemi che bloccano il credential dumping
All’interno di un dispositivo Windows, il Microsoft Windows Local Security Authority Subsystem Service (LSASS) è il processo che si occupa di applicare i criteri di sicurezza.
Per far funzionare correttamente LSASS su Windows, diverse librerie DLL sono caricate in memoria alla partenza del sistema e queste DLL possono accedere alla password in chiaro. Diversi strumenti gratuiti come Mimikatz, ad esempio, una volta che sono caricati in memoria possono essere utilizzati per eseguire il dump della memoria e consentire a un attaccante di accedere alle credenziali per poi ottenere più privilegi e muoversi lateralmente all’interno di un’azienda.
Il motore Process Guard impedisce agli aggressori di ottenere l’accesso alle credenziali memorizzate all’interno del processo LSASS (Local Security Authority Subsystem Service) di Windows, aiutando così a proteggere gli endpoint dagli attacchi che mirano al furto di credenziali.
Conclusioni
Il dumping delle credenziali è oggi una tecnica ampiamente utilizzata dagli aggressori e, come abbiamo visto, è stata persino utilizzata come parte del recente attacco globale ai server Microsoft Exchange che erano sprovvisti di patch di sicurezza.
L’implementazione e l’abilitazione di Process Guard per FireEye Endpoint Security contribuiscono a rafforzare la posizione di sicurezza di un’organizzazione, riducendone la superficie di attacco.
