Nel panorama in costante evoluzione delle minacce informatiche, l'attacco Overpass the Hash è un vettore potente. Sfruttando il protocollo di autenticazione NTLM, questo attacco consente agli avversari di aggirare la necessità di password in chiaro. Invece, un attacco Overpass the Hash utilizza l'hash di un utente per autenticarsi e potenzialmente scalare i privilegi.
Poiché le organizzazioni sono alle prese con le sfide della protezione delle infrastrutture Active Directory, la comprensione e il contrasto di questi tipi di attacchi sono diventati un obiettivo critico per gli esperti e gli amministratori di sicurezza IT.
Lettura correlata: Le principali strategie di hardening di Active Directory
Che cos'è un attacco Overpass the Hash?
L'attacco Overpass the Hash è una tecnica di post-exploitation in cui un aggressore utilizza un hash NTLM catturato per autenticarsi a un servizio o a un server all'interno di un dominio Active Directory. A differenza degli attacchi Pass the Hash tradizionali, che continuano all'interno della stessa sessione di autenticazione, gli attacchi Overpass the Hash prevedono l'utilizzo dell'hash rubato per creare una sessione completamente autenticata in cui l'aggressore può ottenere nuovi ticket Kerberos. Questa sottile ma potente distinzione consente all'aggressore di accedere alle risorse come se avesse la password dell'utente, "scavalcando" di fatto la necessità di acquisirla con altri mezzi.
Come funziona un attacco Overpass the Hash?
L'attacco Overpass the Hash inizia con l'acquisizione da parte di un aggressore dell'hash NTLM di un utente. Questo hash rappresenta la password dell'utente, elaborata attraverso l'algoritmo di hashing NTLM. In genere gli aggressori ottengono l'hash sfruttando le vulnerabilità del computer dell'utente o attraverso tattiche di social engineering.
Dopo aver acquisito l'hash NTLM, l'aggressore utilizza uno strumento come Mimikatz per iniettare l'hash nel proprio contesto di sicurezza. Questo passaggio consente all'aggressore di utilizzare le credenziali rubate per invocare l'API di Windows. Questo passaggio è critico. Il tentativo di accedere alle risorse utilizzando il computer compromesso potrebbe far scattare degli avvisi. Invece, l'aggressore utilizza l'hash per autenticarsi dal proprio dispositivo o da un computer controllato all'interno della rete.
Successivamente, l'aggressore interagisce con il controller di dominio (DC) di Active Directory, presentando l'hash rubato durante il processo di autenticazione NTLM. In questo caso, l'aggressore utilizza l'hash in modo simile a una password. Il DC, incapace di distinguere l'hash da un accesso legittimo, autentica la sessione ed emette un Ticket Granting Ticket (TGT) Kerberos. Questo TGT, criptato con le chiavi segrete dell'account krbtgt del dominio, può essere decifrato solo dal CC; l'attaccante non ha bisogno di decifrare il TGT.
Nella fase finale, l'attaccante utilizza il TGT ottenuto per richiedere ticket di servizio al DC. Questi ticket garantiscono all'attaccante l'accesso a vari servizi all'interno del dominio. Questo processo, spesso denominato messaggio TGS-REQ Kerberos, fa parte del protocollo Kerberos standard utilizzato per accedere alle risorse di un dominio Active Directory. Il CC, ritenendo che il TGT sia stato ottenuto legittimamente, restituisce i ticket di servizio che l'aggressore può utilizzare per accedere alle risorse, autenticarsi ad altre macchine o eseguire azioni sulla rete, il tutto mascherandosi come l'utente compromesso.
L'aspetto particolarmente insidioso dell'attacco Overpass the Hash è la possibilità di richiedere ticket di servizio per servizi o macchine specifici all'interno del dominio. L'attacco consente quindi all'aggressore di colpire risorse o archivi di dati di alto valore. I ticket di servizio possono avere una durata relativamente lunga e possono essere rinnovati, fornendo all'attaccante un meccanismo persistente per accedere alle risorse fino a quando la password dell'utente non viene cambiata o l'attacco viene mitigato.
Quali sono i rischi associati a un attacco Overpass the Hash?
Il rischio principale di un attacco Overpass the Hash risiede nella sua capacità di fornire agli aggressori un accesso non autorizzato alle risorse di rete e ai dati sensibili. L'attacco facilita inoltre il movimento laterale all'interno della rete e può portare all'escalation dei privilegi se l'account compromesso dispone di diritti amministrativi. Poiché l'attacco sfrutta meccanismi di autenticazione legittimi, può essere difficile da rilevare e può fornire un accesso persistente agli aggressori.
Come per molti altri attacchi, gli ambienti che utilizzano NTLM per l'autenticazione sono suscettibili di attacchi Overpass-the-Hash. Ma se chiedete a 50 amministratori di Active Directory se hanno eliminato l'autenticazione NTLM nella loro foresta Active Directory, forse uno alzerà la mano. L'uso di NTLM persiste per diversi motivi:
- Compatibilità con il passato
- Supporto alle applicazioni legacy
- Mancanza di consapevolezza o di risorse per passare a protocolli più sicuri.
Ad esempio, le applicazioni legacy che non sono state aggiornate per utilizzare metodi di autenticazione moderni potrebbero richiedere NTLM. Alcuni dispositivi di archiviazione collegati alla rete o versioni precedenti di servizi basati su Windows richiedono NTLM per impostazione predefinita. Inoltre, alcune configurazioni di Microsoft Internet Information Services (IIS), quando sono impostate per utilizzare l'autenticazione di Windows, sfruttano NTLM se il protocollo Kerberos, più sicuro, non è configurato correttamente o se i client non lo supportano. Le versioni più vecchie di SQL Server e di altri servizi di database possono essere configurate per autenticare gli utenti con NTLM, in particolare quando ci si connette da sistemi non collegati a un dominio o in un ambiente di gruppo di lavoro. Anche l'utilizzo dell'indirizzo IP di una risorsa al posto del suo nome host può portare il sistema a scegliere NTLM per l'autenticazione.
Inoltre, le applicazioni di terze parti, soprattutto quelle progettate per la compatibilità multipiattaforma, potrebbero utilizzare NTLM quando si interfacciano con i sistemi Windows. Questo è spesso il caso di vari strumenti di collaborazione e di gestione dei documenti che devono integrarsi con la condivisione di file di Windows o con vecchie applicazioni web. In alcuni casi, i dispositivi di rete come i concentratori o i gateway VPN, che devono autenticare gli utenti rispetto ad Active Directory, potrebbero utilizzare NTLM se non sono completamente integrati con Kerberos.
I prodotti, i dispositivi, i servizi o le applicazioni che si basano su NTLM non rendono intrinsecamente un ambiente vulnerabile agli attacchi Overpass the Hash. Tuttavia, aumentano la superficie di attacco. La combinazione di un uso continuato di NTLM e di controlli di sicurezza insufficienti crea la vulnerabilità che gli attacchi Overpass the Hash sfruttano. La transizione da NTLM a Kerberos o l'impiego di misure di sicurezza aggiuntive (come la firma SMB) possono ridurre significativamente il rischio.
Come si può rilevare un attacco Overpass the Hash?
Il rilevamento di un attacco Overpass the Hash implica il monitoraggio di modelli insoliti di autenticazione e richieste di ticket nell'ambiente Active Directory. I professionisti della sicurezza devono configurare la registrazione e gli avvisi per le anomalie, tra cui:
- Tempi di accesso insoliti
- Accessi da posizioni atipiche
- Richieste di ticket di assistenza che non seguono il normale comportamento dell'utente
I sistemi avanzati di gestione delle informazioni e degli eventi di sicurezza (SIEM) possono aiutare a correlare gli eventi e a identificare potenziali attacchi. Tuttavia, alcuni attacchi gravemente dannosi sono progettati per eludere il monitoraggio basato su eventi e log.
Le organizzazioni dovrebbero anche monitorare l'uso di autenticazioni NTLM inaspettate; gli ambienti moderni spesso privilegiano Kerberos, facendo risaltare l'uso di NTLM. Questo tipo di attacco è uno di quelli in cui l'analisi del comportamento degli utenti fa davvero la differenza.
Come si può mitigare un attacco Overpass the Hash?
La mitigazione di un attacco Overpass the Hash richiede un approccio multiforme.
- Ridurre al minimo l'uso dell'autenticazione NTLM e utilizzare invece Kerberos, ove possibile.
- Implementate politiche di password forti ed evitate l'uso delle stesse password su diversi account per ridurre l'impatto del furto di hashish.
- Segmentare la rete per evitare spostamenti laterali.
- Implementare politiche di blocco degli account per scoraggiare i tentativi di brute-force.
- Abilitare Credential Guard su Windows 10 e Windows Server 2016 e successivi per impedire l'estrazione di password in chiaro e hash NTLM dalla memoria.
Inoltre, gli amministratori di Active Directory devono adottare misure di protezione contro gli attacchi Overpass the Hash:
- Disattivare l'autenticazione NTLM sui sistemi in cui non è richiesta e imporre l'uso di Kerberos.
- Assicuratevi che sia implementata la Local Administrator Password Solution (LAPS) per gestire le password uniche degli amministratori locali.
- Configurare i Criteri di gruppo per impedire la memorizzazione degli hash NTLM e limitare il traffico NTLM.
- Utilizzate strategie avanzate di auditing e monitoraggio per rilevare l'uso anomalo di NTLM e la presenza di strumenti Overpass the Hash.
- Istruire gli utenti a riconoscere i tentativi di phishing e a proteggere le loro credenziali.
- Mantenere i sistemi aggiornati e patchati per ridurre le vulnerabilità che possono portare al furto di credenziali.
Difesa dagli attacchi che impersonano gli utenti
L'attacco Overpass the Hash costituisce una minaccia significativa per gli ambienti Active Directory, sfruttando il protocollo NTLM per impersonare utenti legittimi. Sfruttando i valori hash rubati, gli aggressori possono ottenere un accesso non autorizzato, compromettendo l'integrità e la riservatezza delle risorse organizzative. La vigilanza e le misure di difesa proattive sono essenziali per mitigare i rischi associati a questo vettore di attacco.
Poiché gli avversari informatici continuano a evolvere le loro tattiche, è diventato imperativo proteggere l'ambiente Active Directory da attacchi come Overpass the Hash. Gli amministratori possono sventare tali attacchi, proteggendo i loro sistemi da accessi non autorizzati e mantenendo l'affidabilità dei loro meccanismi di autenticazione, attraverso misure proattive, tra cui:
- Pianificazione strategica
- Robusti protocolli di sicurezza dell'identità
- Monitoraggio continuo di Active Directory
La protezione degli ambienti Active Directory ibridi è un processo continuo. Per essere all'avanguardia rispetto a minacce come Overpass the Hash è necessario impegnarsi nelle best practice di sicurezza e in una cultura di consapevolezza all'interno dell'organizzazione.