Pass the hash Giacomo Lanzi

Pass the hash: come guadagnare accesso senza la password

Tempo di lettura stimato: 6 minuti

Da quando internet è diventato molto diffuso, sono stati fatti incredibili passi avanti sulla consapevolezza dell’uso delle password. Ormai tutti conoscono quali sono le best practice per impostare una password (evitare le password standard, usare lettere e numeri, evitare le date di nascita, etc). Tuttavia, non c’è tanto da stare tranquilli, perché gli hacker hanno un altro trucco che potrebbe mettere a rischio i vostri account: l’attacco pass the hash.

Generalmente gli attacchi alle password possono essere mitigati applicando password forti, eliminando le impostazioni predefinite dei fornitori e implementando una ragionevole policy di sostituzione ciclica delle password. Gli attacchi alle password, o meglio alle credenziali, sono ancora molto popolari, in realtà. Uno di questi attacchi è il cosiddetto pass the hash o PtH.

Questi attacchi sono visti da alcuni come un problema dei vecchi sistemi Windows. Un po’ è vero, ma sono comunque una minaccia. Infatti, il Pass the Hash è ancora soggetto di molto materiale recuperabile con una semplice ricerca Google, sia per capire come difendersi, sia per imparare ad attaccare.

pass the hash password

Gli hash

Prima di capire cosa sia l’attacco Pass the Hash, è meglio definire in modo chiaro cosa sia un Hash.

I ricercatori in campo di sicurezza sanno fin dagli albori dell’informatica moderna che memorizzare le password in chiaro è una pessima pratica di sicurezza. Per questo, hanno avuto l’idea di passare la stringa di testo semplice attraverso una speciale funzione di crittografia a 1 via per produrre un hash. Un hash è un codice matematico di una lunghezza prestabilita che deriva e rappresenta univocamente la password, ma non può essere invertito matematicamente o rivelare quale sia la password di partenza.

Si tratta, nella pratica, di una stringa di caratteri alfanumerici generata partendo dalla password.

Il punto chiave è che in entrambi i sistemi Windows e Linux la password hash viene memorizzata al posto di quella leggibile. Se ci si pensa un po’, l’hash agisce come un proxy per l’identità: se puoi dimostrare di averlo, è come un biglietto d’ingresso.

In Windows, il protocollo di autenticazione NTLM prevede lo scambio di messaggi per confermare che gli utenti abbiano l’hash senza effettivamente inviarlo nella comunicazione. Questa tecnica di autenticazione è al centro di come Active Directory (cuore del sistema Windows Server), supporta i login remoti all’interno di un dominio ed è anche usata per altri servizi di Windows, in particolare l’accesso remoto ai file.

Pass the Hash

Il sistema operativo stocca gli hash nella memoria per implementare il Single Sign On o SSO, che è una caratteristica essenziale degli ambienti aziendali Windows. Fin qui, tutto bene, sembrerebbe.

Per esempio, su un portatile l’utente accede inizialmente con la password, Windows ne fa un hash e lo memorizza in modo che quando, per esempio, si acceda a una directory remota o si usano altri servizi in cui c’è bisogno di provare l’identità, non è necessario inserire nuovamente la password. Windows usa l’hash memorizzato.

Questa comportamento è sufficiente per gli hacker. Attraverso l’uso di RAM scrapers usati sui dispositivi, gli hacker possono sbirciare nella memoria RAM e recuperare gli hash. Non sorprende che ci siano kit di strumenti sulla rete che permettono agli hacker di rubare le credenziali dalla memoria e accedere come quell’utente.

Questo è uno dei punti deboli del sistema SSO. Gli hacker non devono craccare gli hash (cercare cioè di decifrarli), ma semplicemente riutilizzarli o passarli ad un server di autenticazione, da cui il nome pass the hash.

pass the hash login

Pass the Hash sfrutta una caratteristica non un bug

Il presupposto di questo attacco è che l’hacker guadagna i permessi da amministratore per la macchina di un primo utente. Chiunque del settore vi dirà che non è necessariamente difficile da realizzare.

In un tipico exploit, l’hacker prenderà alcuni hash, accederà ad altri server e continuerà il processo di accumulo di credenziali. Se riesce a fare jackpot, ossia arrivare a un controller di dominio o un server SQL, potrebbe essere in grado di ottenere gli hash di tutti gli utenti nel sistema.

Sfortunatamente, pass the hash è una caratteristica di Windows, non un bug! L’autenticazione NTLM sta effettivamente usando l’hash per implementare il protocollo SSO, risparmiando all’utente la fatica di inserire la password. Gli hacker stanno solo sfruttando questa caratteristica per i loro scopi.

Per non essere troppo duro con i sistemi Windows, bisogna dire che pass the hash è anche un problema nei sistemi Linux che implementano il protocollo di comunicazione Kerboros, dove si ha un equivalente attacco Pass the Ticket o PtT.

Ecco la cosa più importante da tenere a mente: non si può prevenire l’attacco Pass the Hash, si può solo mitigare o ridurre notevolmente la possibilità che questo attacco si verifichi.

Pass the hash

Prevenire l’exploit

Ad oggi, questo tipo di attacco è usato dai peggiori software di ransomware.

L’attacco avverrebbe in questo modo: una volta che il ransomware colpisce, acquisisce i privilegi di amministratore e, oltre a cifrare tutti i dati del disco, utilizza gli hash trovati per compiere dei lateral movement. Ottenuto accesso a un’altra macchina della rete, procede a cifrare i dati presenti su di essa, diffondendosi rapidamente in una rete.

L’unico modo di azzerare le possibilità di attacco pass the hash, sarebbe quello di non utilizzare il sistema Single Sign-On per l’autenticazione. In questo caso gli hash non ci sarebbe del tutto e non si potrebbero sfruttare per l’attacco. Sfortunatamente non è semplice eliminare un sistema così comodo che rende la gestione degli accessi così semplice e comoda per gli utenti.

La soluzione di SOD

Un altro metodo di mitigazione, è quello di implementare nella rete sistemi SIEM e UEBA, ed impostare un controllo della rete centralizzato con un SOC.

Grazie al servizio SOC as a Service offerto da SOD, infatti, la rete viene monitorata e controllata da un’intelligenza artificiale che segnala ogni possibile comportamento sospetto. Il lateral movement è così immediatamente rilevato e bloccato, così come dubbie richieste di accesso a computer della rete aziendale.

La tecnologia avanza e si implementano sempre nuove soluzioni per la difesa, ma allo stesso modo gli attaccanti scoprono nuovi modi di sfruttare le vulnerabilità.

Per abbassare di molto il rischio di perdita di dati o accessi fraudolenti, bisogna restare sempre al passo con i tempi.

Se sei interessato a sapere come il nostro SOCaaS poterebbe aiutare la tua azienda, non esitare a contattarci, saremo lieti di rispondere a ogni tuo dubbio.

Contattaci

Useful links:

Condividi


RSS

RSS feed

Piu’ articoli…

Categorie …

Tags

Acronis Acronis Active Protection Acronis backup Acronis Cloud Backup Acronis Cyber Cloud BaaS Backup Backup as a Service Cloud Conference cloud server cyber security cyber threat Cyber Threat Hunter Dati aziendali EDR GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem Nuovo Regolamento Europeo Privacy owncloud pentest Phishing Plesk privacy Ransomware Regolamento Europeo per la Protezione dei Dati server virtuale servizi cloud sicurezza sicurezza web siem Smart Working SOAR SOCaaS SOCaaS[EDR] template Threat intelligence UEBA VDS Virtual Machine vps vulnerability assessment Zabbix

RSS Feed sconosciuto

RSS darkreading

RSS Full Disclosure

  • CVE-2024-48463 Gennaio 16, 2025
    Posted by Rodolfo Tavares via Fulldisclosure on Jan 15=====[ Tempest Security Intelligence - ADV-10/2024 ]========================== Bruno IDE Desktop prior to 1.29.0 Author: Rodolfo Tavares Tempest Security Intelligence - Recife, Pernambuco - Brazil =====[ Table of Contents ]================================================== Overview Detailed Description Timeline of Disclosure Thanks & Acknowledgements References =====[ Vulnerability Information...
  • CyberDanube Security Research 20250107-0 | Multiple Vulnerabilities in ABB AC500v3 Gennaio 16, 2025
    Posted by Thomas Weber | CyberDanube via Fulldisclosure on Jan 15CyberDanube Security Research 20250107-0 ------------------------------------------------------------------------------- title| Multiple Vulnerabilities in ABB AC500v3 product| ABB AC500v3 vulnerable version|
  • Certified Asterisk Security Release certified-20.7-cert4 Gennaio 16, 2025
    Posted by Asterisk Development Team via Fulldisclosure on Jan 15The Asterisk Development Team would like to announce security release Certified Asterisk 20.7-cert4. The release artifacts are available for immediate download at https://github.com/asterisk/asterisk/releases/tag/certified-20.7-cert4 and https://downloads.asterisk.org/pub/telephony/certified-asterisk Repository: https://github.com/asterisk/asterisk Tag: certified-20.7-cert4 ## Change Log for Release asterisk-certified-20.7-cert4 ###...
  • Certified Asterisk Security Release certified-18.9-cert13 Gennaio 16, 2025
    Posted by Asterisk Development Team via Fulldisclosure on Jan 15The Asterisk Development Team would like to announce security release Certified Asterisk 18.9-cert13. The release artifacts are available for immediate download at https://github.com/asterisk/asterisk/releases/tag/certified-18.9-cert13 and https://downloads.asterisk.org/pub/telephony/certified-asterisk Repository: https://github.com/asterisk/asterisk Tag: certified-18.9-cert13 ## Change Log for Release asterisk-certified-18.9-cert13 ###...
  • Asterisk Security Release 22.1.1 Gennaio 16, 2025
    Posted by Asterisk Development Team via Fulldisclosure on Jan 15The Asterisk Development Team would like to announce security release Asterisk 22.1.1. The release artifacts are available for immediate download at https://github.com/asterisk/asterisk/releases/tag/22.1.1 and https://downloads.asterisk.org/pub/telephony/asterisk Repository: https://github.com/asterisk/asterisk Tag: 22.1.1 ## Change Log for Release asterisk-22.1.1 ### Links: - [Full ChangeLog](...
  • Asterisk Security Release 18.26.1 Gennaio 16, 2025
    Posted by Asterisk Development Team via Fulldisclosure on Jan 15The Asterisk Development Team would like to announce security release Asterisk 18.26.1. The release artifacts are available for immediate download at https://github.com/asterisk/asterisk/releases/tag/18.26.1 and https://downloads.asterisk.org/pub/telephony/asterisk Repository: https://github.com/asterisk/asterisk Tag: 18.26.1 ## Change Log for Release asterisk-18.26.1 ### Links: - [Full ChangeLog](...
  • [asterisk-dev] Asterisk Security Release 21.6.1 Gennaio 16, 2025
    Posted by Asterisk Development Team on Jan 15The Asterisk Development Team would like to announce security release Asterisk 21.6.1. The release artifacts are available for immediate download at https://github.com/asterisk/asterisk/releases/tag/21.6.1 and https://downloads.asterisk.org/pub/telephony/asterisk Repository: https://github.com/asterisk/asterisk Tag: 21.6.1 ## Change Log for Release asterisk-21.6.1 ### Links: - [Full ChangeLog](...
  • [asterisk-dev] Asterisk Security Release 20.11.1 Gennaio 16, 2025
    Posted by Asterisk Development Team on Jan 15The Asterisk Development Team would like to announce security release Asterisk 20.11.1. The release artifacts are available for immediate download at https://github.com/asterisk/asterisk/releases/tag/20.11.1 and https://downloads.asterisk.org/pub/telephony/asterisk Repository: https://github.com/asterisk/asterisk Tag: 20.11.1 ## Change Log for Release asterisk-20.11.1 ### Links: - [Full ChangeLog](...
  • Multiple vulnerabilities in CTFd versions <= 3.7.4 Dicembre 31, 2024
    Posted by Blazej Adamczyk on Dec 30━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Multiple vulnerabilities in CTFd versions
  • IBMi Navigator / CVE-2024-51464 / HTTP Security Token Bypass Dicembre 31, 2024
    Posted by hyp3rlinx on Dec 30[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org [+] Source: https://hyp3rlinx.altervista.org/advisories/IBMi_Navigator_HTTP_Security_Token_Bypass-CVE-2024-51464.txt [+] x.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor]www.ibm.com [Product] Navigator for i is a Web console interface where you can perform the key tasks to administer your IBM i. IBM Navigator for i supports the vast majority of tasks that […]

Customers

Newsletter

{subscription_form_2}
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
Recensioni Google
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
4.9
Basato su 37 recensioni
powered by Google
votaci su
Omid Fazeli
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any kind of business. Lower prices than many others. The support service is always active and efficient.
Guarda tutte le recensioni
js_loader
Facebook
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Basato su 12 recensioni
powered by Facebook
votaci su
Paolo Raimondi
Paolo Raimondi
11:06 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).leggi di più
Ilaria Miglietta
Ilaria Miglietta
04:16 21 Apr 18
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìleggi di più
Francesca Marastoni
Francesca Marastoni
11:41 20 Apr 18
Excellent service company with... wonderful stuff. Highly recommended.

Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Alessio Liga
Alessio Liga
08:25 20 Apr 18
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business
Ottimo supportoleggi di più
Matteo Revelli
Matteo Revelli
22:39 19 Apr 18
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.leggi di più
Lorenzo Munari
Lorenzo Munari
16:25 19 Apr 18
Azienda molto seria e... affidabile.

E' un piacere poter collaborare con realtà di questo tipoleggi di più
Francisco Amadi
Francisco Amadi
10:41 19 Apr 18
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!leggi di più
Davide Michelotto
Davide Michelotto
07:42 19 Apr 18
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.leggi di più
Gabriele Petralia
Gabriele Petralia
12:28 18 Apr 18
Luca Prati
Luca Prati
10:12 18 Apr 18
Azienda eccellente, consulenza... customizzata e puntuale.
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Valerio Lezza
Valerio Lezza
21:35 17 Apr 18
Daniela Cospito Di Leo
Daniela Cospito Di Leo
21:20 17 Apr 18
Altre recensioni
js_loader
payments gateway
Contatti