O que é um ataque de Pass-the-Hash (PtH)?
Um ataque de Pass-the-Hash é um tipo de ataque cibernético onde um hash de senha é roubado dos administradores e usado para obter acesso não autorizado a uma rede. Este tipo de ataque elimina a necessidade de roubar ou hackear uma senha, já que basta ter um hash de senha para escalonar o acesso dentro de uma rede e dos sistemas.
O que é um hash de senha?
Para entender como funciona um ataque de pass-the-hash, é preciso entender o que exatamente é um hash de senha. Um hash de senha é um algoritmo unilateral que transforma uma senha de texto plano em uma sequência aleatória de letras e números que não pode ser revertida ou decodificada para revelar a senha real.
O hashing de senhas aprimora a segurança eliminando o armazenamento de senhas de texto plano em um servidor. Com o hashing de senha, apenas o usuário final tem ciência das senhas de texto plano.
Como funcionam os ataques de pass-the-hash?
Ataques de pass-the-hash começam quando um criminoso cibernético compromete a máquina de um administrador. Muitas vezes, isso acontece com a infecção de uma máquina com malware com o uso de técnicas de engenharia social. Por exemplo, um administrador pode ter recebido um e-mail de phishing pedindo para que ele clicasse em um anexo ou link. Caso esse link ou anexo seja acessado, o malware pode ser imediatamente baixado sem a ciência do administrador.
Quando o malware é instalado na máquina do administrador, o criminoso cibernético coleta os hashes de senha armazenados na máquina. Com apenas um has de senha pertencente a uma conta de usuário privilegiado, os criminosos cibernéticos podem burlar o protocolo de autenticação do sistema ou da rede. Quando o criminoso cibernético burla a autenticação, ele é capaz de acessar informações confidenciais e de se mover lateralmente pela rede para obter acesso a outras contas privilegiadas.
Quais são os ataques de pass-the-hash mais vulneráveis?
As máquinas de Windows são as mais suscetíveis a ataques de pass-the-hash devido à vulnerabilidade nos hashes do Gerenciador de Rede Local de Tecnologia Nova (NTLM) do Windows. NTLM é um conjunto de protocolos de segurança oferecidos pela Microsoft que age como uma solução de conexão única (SSO), usado por muitas organizações.
Essa vulnerabilidade de NTLM permite que autores de ameaças aproveitem contas de domínios comprometidos com apenas o hash de senha, sem precisar da senha real.
Como mitigar ataques de pass-the-hash
Invista em uma solução de gerenciamento de acesso privilegiado (PAM)
O gerenciamento de acesso privilegiado se trata de proteger e gerenciar contas que acessam sistemas e dados altamente confidenciais. Contas privilegiadas inclui sistemas de folha de pagamento, contas de administradores de TI e sistemas operacionais, dentre outros.
Uma solução PAM ajuda organizações a proteger o acesso a contas privilegiadas aproveitando o princípio de menor privilégio (PoLP). PoLP é um conceito de segurança cibernética onde os usuários recebem acesso suficiente aos dados e sistemas necessários para realizar o trabalho, não mais nem menos. Com uma solução PAM estabelecida, as organizações podem garantir que os usuários recebam apenas o acesso às contas necessárias com controles de acesso baseado em cargo (RBAC). As organizações também podem exigir o uso de senhas fortes e autenticação de vários fatores (AVF) para proteger ainda mais contas e sistemas.
Realize rodízios regulares de senha
O rodízio de senhas frequente pode ajudar a mitigar o risco de ataques de pass-the-hash, já que isso reduz o tempo que um hash roubado é válido. As melhores soluções de PAM são abrangentes e oferecem rodízio de senhas como um recurso que pode ser ativado.
Implementar confiança zero
Confiança zero é uma estrutura que presume que todos os usuários foram violados, exigindo continuamente uma verificação de identidade e limitando o acesso aos dados e aos sistemas da rede. Em vez de confiar implicitamente em todos os usuários e dispositivos dentro de uma rede, a confiança zero não confia em ninguém e presume que todos os usuários podem ter sido possivelmente comprometidos.
A confiança zero pode ajudar a reduzir os riscos de segurança cibernética, minimizar a superfície de ataque de uma organização e melhorar o monitoramento de conformidade e auditoria. Com confiança zero, os administradores de TI têm visibilidade completa sobre todos os usuários, sistemas e dispositivos. Eles podem conferir quem está conectado à rede, de onde estão se conectando e o que estão acessando.
Realize teste de penetração com frequência
Testes de penetração, também conhecidos como teste pen, é um ataque cibernético simulado contra os dispositivos, sistemas e redes de uma empresa. A realização frequente de testes de penetração podem ajudar as organizações a determinar se elas têm vulnerabilidades para que possam ser corrigidas antes mesmo de serem exploradas pelos criminosos cibernéticos.
Mantenha a organização segura contra ataques pass-the-hash com o KeeperPAM®
O KeeperPAM é uma solução de gerenciamento de acesso privilegiado que combina o Enterprise Password Manager (EPM) do Keeper, o Keeper Secrets Manager (KSM) e o Keeper Connection Manager (KCM) em uma plataforma unificada para proteger sua organização contra ataques cibernéticos.