Che cos'è un attacco Pass-the-Hash (PtH)?

L'attacco Pass-the-hash è un tipo di attacco informatico in cui l'hash di una password viene rubato agli amministratori e utilizzato per ottenere un accesso non autorizzato in una rete. Questo tipo di attacco elimina la necessità di rubare o violare una password, poiché è sufficiente l'hash della password per aumentare l'accesso alla rete e ai suoi sistemi.

Che cos'è l'hash della password?

Per capire come funziona un attacco pass-the-hash, è necessario comprendere cosa sia esattamente l'hash di una password. L'hash della password è un algoritmo unidirezionale che trasforma una password in chiaro in una stringa casuale di lettere e numeri che non può essere invertita o decrittografata per rivelare la password reale.

L'hashing delle password migliora la sicurezza eliminando la memorizzazione delle password in chiaro in un server. Con l'hashing delle password, solo l'utente finale conosce le sue password in chiaro.

Che cos'è l'hash della password?

Come funzionano gli attacchi Pass-the-Hash?

Gli attacchi Pass-the-hash iniziano quando un criminale informatico compromette il computer di un amministratore. Questo avviene spesso infettando quel computer con un malware tramite tecniche di social engineering. Ad esempio, a un amministratore può essere inviata un'e-mail di phishing che lo esorti a fare clic su un allegato o su un link. Se così succede, è possibile che il malware venga immediatamente scaricato a sua insaputa.

Una volta installato il malware sul computer dell'amministratore, il criminale informatico raccoglie gli hash delle password memorizzati sul computer. Con un solo hash appartenente all'account di un utente con privilegi, i criminali informatici possono aggirare il protocollo di autenticazione della rete o del sistema e così accedere a informazioni riservate nonché spostarsi lateralmente attraverso la rete per ottenere l'accesso ad altri account con privilegi.

Come funzionano gli attacchi Pass-the-Hash?

Chi è più vulnerabile agli attacchi Pass-the-Hash?

I computer Windows sono i più vulnerabili agli attacchi Pass-the-Hash a causa di una vulnerabilità negli hash del Windows New Technology Local Area Network Manager (NTLM). NTLM è un insieme di protocolli di sicurezza offerti da Microsoft che funge da soluzione Single Sign-On (SSO), che molte organizzazioni utilizzano.

Questa vulnerabilità del NTLM consente ai malintenzionati di sfruttare gli account di domini compromessi con il solo hash della password, senza mai avere bisogno della password vera e propria.

Chi è più vulnerabile agli attacchi Pass-the-Hash?

Come ridurre gli attacchi Pass-the-Hash

Investite in una soluzione di gestione degli accessi con privilegi (PAM)

Per gestione degli accessi con privilegi s'intende la protezione e la gestione degli account che hanno accesso a sistemi e dati altamente sensibili. Gli account con privilegi includono i sistemi di contabilità e pagamento, gli account degli amministratori IT e i sistemi operativi, solo per citarne alcuni.

Una soluzione PAM aiuta le organizzazioni a proteggere e gestire l'accesso agli account con privilegi, sfruttando il principio dei privilegi minimi (Principle of Least Privilege, PoLP). Tale principio è un concetto di cybersecurity in cui agli utenti viene concesso l'accesso ai dati e ai sistemi di cui hanno bisogno per svolgere il proprio lavoro, né più né meno. Con una soluzione PAM, le organizzazioni possono garantire che gli utenti accedano solo agli account di cui hanno bisogno, tramite i controlli di accesso in base al ruolo (Role-Based Access Controls, RBAC). Le organizzazioni possono inoltre imporre l'uso di password complesse e dell'autenticazione multifattoriale (AMF) per proteggere ulteriormente account e sistemi.

Effettuate regolarmente la rotazione delle password

La rotazione regolare delle password può contribuire a ridurre il rischio di un attacco Pass-the-Hash, poiché riduce il tempo di validità di un hash rubato. Le migliori soluzioni PAM sono onnicomprensive e prevedono la rotazione delle password come funzione attivabile.

Implementare la zero-trust

La zero trust è un framework che presuppone che tutti gli utenti siano stati violati, richiede loro di verificare continuamente la propria identità e ne limita l'accesso ai sistemi e ai dati di rete. Invece di fidarsi implicitamente di tutti gli utenti e i dispositivi all'interno di una rete, la zero-trust non si fida di nessuno e presuppone che tutti gli utenti possano essere potenzialmente compromessi.

La zero-trust può contribuire a ridurre i rischi legati alla cybersecurity, a ridurre al minimo la superficie di attacco di un'organizzazione e a migliorare il monitoraggio di verifiche e conformità. Con la zero-trust, gli amministratori IT hanno piena visibilità su tutti gli utenti, i sistemi e i dispositivi. Possono vedere chi si connette alla rete, da dove si connette e a cosa accede.

Eseguite regolarmente i test di penetrazione

I test di penetrazione, noti anche come pen test, sono attacchi informatici simulati contro reti, sistemi e dispositivi di un'organizzazione. L'esecuzione regolare di questi test può aiutare le organizzazioni a determinare le vulnerabilità, in modo da poterle correggere prima che vengano sfruttate dai criminali informatici.

Proteggete la vostra organizzazione dagli attacchi Pass-the-Hash con KeeperPAM®

KeeperPAM è la soluzione di gestione degli accessi con privilegi di nuova generazione che combina l'Enterprise Password Manager (EPM) di Keeper, Keeper Secrets Manager (KSM) e Keeper Connection Manager (KCM) in un'unica piattaforma unificata per proteggere la vostra organizzazione dagli attacchi informatici.

Italiano (IT) Chiamaci