De los ataques avanzados persistentes (Advanced Persistent Threats) que se han analizado de Microsoft, un patron utilizado para entrar en el sistema (ataques basados en ingeniería social como spear phishing y/o drive-by downloading) e ir logrando más privilegios explotando vulnerabilidades del SO, sigen con el uso del ataque tipo Pass-the-Hash (PtH) para robo de credenciales.
Estas permitiría comprometer componentes del sistema y finalmente el controlador de dominio, para poder tener un control total sobre el sistema de información.
El ataque Pass-the-Hash permite al atacante capturar las credenciales de inicio de sesión de un equipo, que luego utilizará para autenticarse en otros equipos de la red. Sería parecido a un robo de contraseñas pero basandose en el robo y reutilización de los valores hash de la contraseña en vez de usar el texto plano de la contraseña. Este Hash se puede usar también para acceder a servicios en caso de
utilizar Single-Sign-On (SSO) como por ejemplo cuando se utiliza
Kerberos.
Microsoft recientemente publicó un documento Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques donde se explican en detalle este tipo de ataques, y más
importante aún, donde se discuten estrategias para manejar adecuadamente
los posibles vectores de ataque y mitigar los riesgos inherentes al
modelo de autenticación actual,a través de acciones específicas que
permiten proteger el sistema.
No hay comentarios:
Publicar un comentario