Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/pass-the-hash-attacks-and-how-to-prevent-them-in-windows-domains/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Nos filmes, os hackers normalmente digitam algumas teclas e obtêm acesso a redes inteiras em questão de segundos. No mundo real, no entanto, os invasores geralmente começam com nada mais do que uma conta de usuário de baixo nível e, em seguida, trabalham para obter privilégios adicionais que lhes permitirão assumir o controle da rede.
Um dos métodos comumente usados para adquirir esses privilégios é um ataque pass-the-hash.
Nos bastidores do hash de senha
Para entender como funciona um ataque pass-the-hash, você deve primeiro entender como os hashes de senha são usados.
Quando você atribui uma senha a um sistema, essa senha não é realmente armazenada no sistema. Em vez disso, o sistema operacional usa uma fórmula matemática para calcular um hash para a senha. O hash é o que é armazenado, não a senha real.
Quando você faz login no sistema, o mecanismo de autenticação usa a mesma fórmula matemática para calcular um hash para a senha inserida e a compara com o hash armazenado. Se os dois hashes corresponderem, a senha será considerada correta e o acesso será concedido.
A conclusão importante disso é que, no que diz respeito ao sistema, o hash é a senha.
Um invasor que deseja obter acesso a um sistema nem sempre precisa saber a senha de um usuário. Eles só precisam ter acesso ao hash de senha que já está armazenado no sistema. Do ponto de vista do hacker, ter acesso a um hash de senha é essencialmente o mesmo que ter acesso à senha.
O hash de senha é uma técnica comumente usada para proteger senhas, mas nem todas as tecnologias de hash de senha são iguais. Esta postagem descreve os três principais tipos de técnicas de hash de senha e como alterar qual delas seu Active Directory está usando.
O que acontece quando o hash é comprometido
Conforme observado anteriormente, os criminosos cibernéticos que desejam dominar uma rede geralmente usam uma conta de usuário básica como ponto de entrada inicial. Eles podem comprar credenciais roubadas da dark Web, infectar o usuário com malware que rouba senhas ou usar várias outras técnicas para adquirir a senha de um usuário.
Depois que o hacker tiver acesso à senha de um usuário de baixo nível (a senha real, não o hash), sua próxima prioridade é fazer login como esse usuário e procurar maneiras de elevar suas permissões. É aqui que o ataque pass-the-hash entra em jogo.
Prevalência de passagem de hash no sistema operacional Windows
O ataque pass-the-hash pode ser usado em uma variedade de sistemas, mas é mais comum atingir os sistemas Windows. A razão pela qual o Windows é um alvo favorito é porque os sistemas Windows contêm hashes de senha para todos que já efetuaram login nesse sistema. Não importa se um usuário fez login em um sistema localmente ou se usou uma sessão RDP. Seu hash ainda será armazenado no sistema.
Quando o hacker faz login em um sistema, ele procura no sistema quaisquer hashes de senha que possam existir na esperança de que um administrador tenha feito login em algum momento. Se nenhum hashe de nível de administrador estiver presente, o hacker executará um ataque de pulverização de hash no qual usará hashes de senha roubados para fazer login em todas as outras estações de trabalho e extrair seus hashes de senha.
Eventualmente, o invasor provavelmente encontrará um sistema que contém um hash de nível de administrador. Esse hash pode ser usado para obter acesso a controladores de domínio, servidores de aplicativos, servidores de arquivos e outros recursos confidenciais.
Cinco etapas para evitar um ataque de passagem de hash em sua rede
Infelizmente, os ataques pass-the-hash são difíceis de detectar, pois esses ataques dependem de mecanismos normais de autenticação do sistema operacional. Como tal, é importante tomar medidas para tentar impedir que ataques de passagem de hash sejam bem-sucedidos. Há várias coisas que você pode fazer para diminuir as chances de sucesso de um ataque pass-the-hash.
Nunca faça login em uma estação de trabalho com uma conta privilegiada
Em primeiro lugar, você nunca deve fazer login em uma estação de trabalho usando uma conta privilegiada. Isso inclui sessões RDP. É melhor configurar estações de trabalho de gerenciamento dedicadas que foram protegidas contra ataques e realizar operações privilegiadas somente nessas estações de trabalho.
Habilitar o Windows Defender Credential Guard
O Windows 10 e 11 incluem uma ferramenta chamada Windows Defender Credential Guard. Essa ferramenta, quando habilitada, usa a virtualização em nível de hardware para executar o Serviço de Subsistema de Autoridade de Segurança Local em um ambiente de área restrita. Essa ação simples torna o sistema muito mais resistente a ataques de passagem de hash.
Aplicar o Princípio do Menor Acesso do Usuário
A ideia principal por trás do Acesso Mínimo de Usuário é que os usuários não devem ter nenhuma permissão além daquelas que são especificamente exigidas para que eles realizem seus trabalhos. Embora o uso de acesso de usuário mínimo não impeça um ataque de passagem de hash, ele minimizará os danos se um invasor conseguir comprometer uma ou mais contas.
Use firewalls para bloquear tráfego desnecessário
Dispositivos de usuários finais provavelmente precisarão de acesso a controladores de domínio, servidores de arquivos e outras linhas de sistemas de negócios. No entanto, é um tanto raro que uma estação de trabalho precise acessar outra. Se você puder usar firewalls para bloquear o tráfego de estação para estação de trabalho, reduzirá a capacidade de um invasor de fazer os movimentos laterais necessários para um ataque de passagem de hash bem-sucedido.
Use o Specops Password Auditor para acessar a integridade da sua senha
Antes que um invasor possa iniciar um ataque de passagem de hash, eles exigem um ponto de entrada inicial. Isso geralmente vem na forma de credenciais roubadas. Uma ferramenta gratuita chamada Specops Password Auditor pode ajudá-lo a identificar contas em risco antes que elas sejam comprometidas.
O Specops Password Auditor não apenas verifica se as senhas do usuário estão em conformidade com os padrões do setor para senhas seguras, mas também pode comparar as senhas do usuário com uma lista de senhas que sabidamente foram comprometidas. Dessa forma, você pode forçar uma alteração de senha antes que essa conta possa ser explorada.
Patrocinado por Specops
Postar um comentário