O que é um ataque de passagem do hash e como ele funciona?

Digitar suas credenciais sempre que quiser fazer login em um sistema pode ser cansativo, especialmente quando você faz login no sistema regularmente. Você pode até esquecer suas senhas.

A implementação de sistemas operacionais que fornecem uma experiência de logon único para os usuários evita que você reinsira seus detalhes de logon todas as vezes. Mas há um problema com isso. Os invasores podem explorar suas credenciais salvas no sistema por meio de um ataque Pass-the-Hash (PtH).

Aqui, discutiremos como funciona um ataque Pass-the-Hash e como você pode mitigá-lo.

O que é um ataque de passagem do hash?

Hashing é o processo de traduzir strings de caracteres em um código, tornando-o muito mais curto e fácil. É um dos grandes players em segurança cibernética, fundamental para evitar violações de dados.

Administradores de aplicativos da Web criptografar arquivos e mensagens para impedir o acesso não autorizado a eles. Embora esses arquivos sejam mantidos em sigilo, o hash ajuda a verificar sua integridade. Impede que qualquer pessoa corrompa os arquivos ou altere seu conteúdo e os apresente como os arquivos originais.

Um hash não pode ser revertido após a tradução. Ele só permite detectar se dois arquivos são semelhantes ou não, sem verificar seu conteúdo. Antes de acessar um sistema ou serviço pela rede, você deve se autenticar apresentando seu nome de usuário e senha. Agora, essas informações são armazenadas no banco de dados para comparação futura quando você tentar efetuar login novamente.

Suas senhas estão em texto simples, o que as torna menos seguras. E se um invasor puder acessar o banco de dados, ele poderá roubar sua senha e obter acesso não autorizado à sua conta. A situação piorará se você for um daqueles usuários que usam uma única senha para contas diferentes. O invasor usará a senha roubada para acessar suas outras contas.

Então, como o hash entra em jogo aqui?

O mecanismo de hash transforma sua senha de texto simples em dados que não podem ser alterados de volta para sua senha original. Depois que sua senha é criptografada e armazenada na memória do sistema, ela é usada para provar sua identidade na próxima vez que você quiser acessar um serviço.

O hash protege as contas dos usuários contra acesso não autorizado. Mas não enquanto os cibercriminosos criarem uma estratégia para coletar o hash. A vulnerabilidade de segurança detectada no logon único (SSO) deu lugar ao ataque Pass-the-Hash. Ele apareceu pela primeira vez em 1997 e existe há 24 anos.

Um ataque Pass-the-Hash é semelhante aos truques dos atacantes use para roubar senhas de usuários. É um dos ataques mais comuns, porém subestimados, quando se trata de roubo e uso de credenciais de usuários.

Com a técnica Pass-the-Hash, os invasores não precisam quebrar o hash. Ele pode ser reutilizado ou passado para um servidor de autenticação. Os hashes de senha permanecem estáticos de sessão para sessão até que sejam alterados. Por esse motivo, os invasores perseguem os protocolos de autenticação dos sistemas operacionais para roubar as senhas com hash.

Como funciona um ataque de passagem do hash?

Os ataques Pass-the-Hash são mais comuns em sistemas Windows, embora possam ocorrer em outros sistemas operacionais, como Linux e UNIX. Os hackers sempre procuram brechas nesses sistemas para atingir suas vítimas.

A vulnerabilidade do Windows está em sua autenticação NTLM, que implementa uma função de logon único (SSO). Ele permite que os usuários insiram suas senhas uma vez e acessem qualquer recurso que desejarem.

Veja como funciona:

Quando você se inscreve em um sistema Windows pela primeira vez, ele criptografa sua senha e a armazena na memória do sistema. Esta é uma abertura para os invasores explorarem sua senha com hash. Eles podem ter acesso físico ao seu sistema, destruir sua memória ativa ou infectá-lo com malware e outras técnicas.

Ferramentas como Metasploit, Gsecdump e Mimikatz são usadas para extrair as credenciais com hash da memória do sistema. Feito isso, os invasores reutilizam suas credenciais para fazer login como você e acessar todos os aplicativos aos quais você tem direitos.

Se um amigo ou colega fez login no seu sistema, o hacker também pode coletar seu hash. Lembre-se, é uma técnica de movimento lateral. O pior cenário é um hacker obtendo acesso a sistemas de controle que executam toda uma organização ou infraestrutura de TI. Uma vez dentro, eles podem roubar informações confidenciais, modificar registros ou instalar malware.

Como mitigar um ataque de passagem de hash

Aqui está algo que você deve saber sobre o ataque Pass-the-Hash. Não é um bug, mas um recurso. O protocolo de logon único implementado com um hash é para evitar que os usuários tenham que digitar novamente suas senhas. Assim, os hackers agora aproveitam o recurso SSO do Windows, o protocolo de comunicação dos sistemas Linux e Unix para fins maliciosos.

Você pode reduzir suas chances de ser vítima de tais ataques seguindo estas soluções eficazes.

1. Habilitar o Windows Defender Credential Guard

O Windows Defender Credential Guard é um recurso de segurança que acompanha os sistemas Windows 10 e superiores. Ele protege as informações confidenciais armazenadas no sistema. O Serviço de Subsistema de Autoridade de Segurança Local (LSASS) impõe a política de segurança no sistema Windows.

2. Implemente o Modelo de Segurança de Privilégios Mínimos

Aqui está a coisa: se você é proprietário de uma empresa e tem pessoas trabalhando para você, limite seus direitos de acesso apenas a recursos e arquivos necessários para realizar seus trabalhos no sistema de rede.

Elimine direitos administrativos desnecessários e conceda privilégios apenas a aplicativos confiáveis. Isso reduzirá a capacidade de um hacker de expandir seu acesso e permissão.

3. Reinicialize os sistemas após o logout

Lembre-se, o objetivo é minimizar o risco de ser vítima de um ataque Pass-the-Hash. Como o sistema armazena o hash de senha em sua memória, reinicializar o computador após o logout removerá o hash da memória do sistema.

4. Instalar software antimalware

Os cibercriminosos fazem um excelente trabalho ao usar malware para comprometer redes. Ferramentas automatizadas, como software antimalware, são úteis para criar uma defesa contra esses ataques cibernéticos. Essas ferramentas detectam arquivos infectados ou maliciosos em seu sistema e os neutralizam antes que eles atinjam.

Ao instalar software antimalware em seus dispositivos, você protege seu sistema contra malware. Você também pode usar plataformas de malware como serviço para obter soluções de malware personalizadas.

5. Atualize seus sistemas operacionais

Por que manter uma versão mais antiga de um sistema operacional com menos segurança quando você pode atualizá-lo?

Os sistemas operacionais mais recentes geralmente oferecem uma experiência de usuário muito melhor e têm defesas mais robustas. Por exemplo, o Windows 10 versão 1703 tem vários recursos de segurança que protegem os usuários nas redes.

Adote uma abordagem eficaz para passar o ataque de hash

Os ataques pass-the-Hash sempre afetarão os sistemas operacionais que oferecem suporte a um logon único. Enquanto a função de hash tenta proteger sua senha, os ataques burlam a segurança para roubar as senhas com hash com várias ferramentas.

Assuma a responsabilidade de proteger suas credenciais atualizando para os sistemas operacionais mais recentes, conceder permissões apenas a aplicativos confiáveis ​​e instalar software antimalware em seu computador. Os cibercriminosos só podem passar o hash quando houver uma via expressa para eles. É sua responsabilidade fechar todas as brechas em sua rede.

O que é malware Emotet e como ele funciona?

Ao contrário da maioria dos malwares, o Emotet voa sob o radar e trabalha em silêncio para atrair as vítimas. Saiba como funciona e o que você pode fazer para se proteger.

Leia a seguir

Sobre o autor