Nella sicurezza informatica, “Pass the Hash” è una tecnica di hacking che consente a un utente malintenzionato di autenticarsi su più sistemi di una stessa rete pur senza conoscere direttamente le credenziali della vittima. Si usano semplicemente il nome utente e la password offuscata, senza il bisogno di crackarla. Questo attacco informatico, ormai ultra ventennale, sta ancora facendo impazzire medie e grandi imprese. Che cosa c’è da sapere? Si può prevenire? Di sicuro è duro a morire.
UN PO’ DI STORIA
Prima di addentrarsi nel cuore dell’attacco, è utile capire qualcosa di più sulla storia del Pass the Hash.
Il 1997 è l’anno in cui questo attacco viene realizzato per la prima volta.
Nel 2019 questa tecnica di hacking è resa ancor più potente dall’avanzamento tecnologico.
Sono quindi ventidue gli anni passati da quando è stato scoperto per la prima volta.
Eppure, il nome è sempre quello, con qualche variazione (Pass The Ticket), ma il sistema è ancora lì, a tratti più potente di prima, perché i sistemi informatizzati sono di più, tutto è più tecnologico e quindi per certi aspetti vulnerabile.
Oggi le piccole, medie e grandi imprese utilizzano un sistema centralizzato che permette la facile condivisione di file, cartelle e utenze. Inoltre, attraverso un sistema di identificazione unica (Single Sign-On), è possibile effettuare una sola autenticazione valida per più sistemi software o risorse informatiche alle quali quell’utente è abilitato a livello aziendale.
Tutte queste “comodity” che ogni dipendente o dirigente aziendale ha a disposizione, portano con sé tante problematiche di sicurezza. Una di queste è proprio il Pass the Hash (PTH). Grazie a questa tecnica di hacking è possibile acquisire i privilegi di tutti gli utenti che si sono connessi alla macchina compromessa e man mano utilizzare quei privilegi per muoversi lateralmente applicando il medesimo attacco. Se poi dalla macchina si riesce a recuperare l’hash, generato dal login di un utente di grado amministrativo maggiore, comparirà una nuova possibilità per muoversi anche in maniera verticale (Vertical Privilege Escalation o Escalation of Privilege, EoP), acquisendo sempre più controllo. Lo scopo principale è riuscire a ottenere il controllo del server centrale che, in ambiente Microsoft, sotto un dominio di Active Directory, è chiamato Domain Controller.
Le più grandi e famose campagne APT (Advanced Persistent Threat) utilizzano questa tecnica di furto e riuso delle credenziali come post exploitation technique, quindi dopo aver preso possesso di un sistema informatico con le autorizzazioni di amministratore locale della macchina.
In ambiente Microsoft Windows 10 e Windows Server 2016, aggiornati al momento in cui si scrive, l’attacco PTH è reso ancor più semplice con l’uso di un software gratuito e sempre aggiornato, Mimikatz, grazie al quale è possibile effettuare sia il furto che il riuso delle credenziali all’interno di uno o più domini con Active Directory.
STATO DELL’ARTE
In questo momento, il PTH è utilizzato dai peggiori (a livello di danni) ransomware in circolazione. Il ransomware di base cripta tutti i file che trova nel computer della vittima. Per decriptarli è necessario pagare una grande cifra in Bitcoin (cripto moneta virtuale) al cyber criminale, senza però aver la certezza che questi dia la chiave di decrittazione e risolva il guasto. Uno in particolare fra quelli analizzati è SDEN Ransomware che non si limita solo a criptare tutti i file di un computer ma, con l’ausilio dell’attacco PTH, si propaga nella rete aziendale – se presente – e cripta ogni macchina che incontra nel suo cammino.
COME DIFENDERSI
Come accade abitualmente, per prevenire questo genere di attacchi la spesa in MD (Man Days) a livello difensivo è tante volte più alta rispetto alla spesa per effettuare questo tipo di attacchi. Difendersi costa molto di più che attaccare.
L’unico modo per sradicarlo del tutto sarebbe non utilizzare il Single Sign-On. Naturalmente non è semplice eliminare tale sistema poiché risulta molto comodo e rende la gestione degli utenti e dei servizi di rete più semplice, più veloce. Esistono però delle remediation attuabili, molto costose, ma alle volte capaci di prevenire questo e molti altri cyber attacchi.
Per eludere attacchi di questo genere i più esperti del settore consigliano dei buoni IDS e IPS, rispettivamente Intrusion Detection System e Intrusion Prevention System.
Grazie a essi, usando i sistemi Host-based (HIDS / HIPS) e Network-based (NIDS, NIPS), è possibile monitorare in tempo reale tutti i comportamenti anomali e ricevere notifiche nel caso in cui si rilevino delle anomalie rispetto alla regolare condotta.
I nuovi IDS e IPS nascono già con un sistema basato sull’intelligenza artificiale capace di imparare in poco tempo grandi quantità di dati e capire, spesso in anticipo rispetto all’uomo, dove c’è un reale pericolo e dove invece vi è un falso positivo.
Grazie all’uso di SIEM (Security Information and Event Management), è possibile avere una gestione dei logs tale da riuscire a risalire ai movimenti laterali compiuti dai cybercriminali e della loro Elevation of Privilege.