L’attacco Pass the Hash (PtH) è una tecnica insidiosa che consente ai cybercriminali di guadagnare accesso non autorizzato a un sistema senza la necessità di conoscere le password degli utenti.
Questo metodo sfrutta una caratteristica intrinseca dei sistemi di autenticazione Windows, nei quali le credenziali di accesso sono gestite e trasmesse sotto forma di hash, piuttosto che come password effettive.
La capacità di utilizzare direttamente gli hash per autenticarsi rende gli attacchi PtH particolarmente pericolosi e difficili da rilevare.

pass the hashing attacco

Come funziona il Pass the Hash

Il Pass the Hash (PtH) è una tecnica avanzata di attacco che si inserisce in una lacuna presente nella gestione delle autenticazioni di rete, in particolare nei sistemi Windows. Ecco come avviene:

Raccolta dell’Hash

L’attacco inizia quando un hacker riesce ad accedere a una macchina della rete, ottenendo così gli hash delle password memorizzati nel sistema. Questi hash sono versioni crittografate delle password che Windows utilizza per confermare l’identità di un utente durante il processo di login.

Iniezione nella schermata di autenticazione

Una volta che l’hacker ha in mano l’hash, non ha bisogno di decifrare la password originale.
Invece, può semplicemente passare l’hash al server o al servizio che richiede l’autenticazione, come se fosse una password valida.

Sfruttamento del Single Sign-On (SSO)

I sistemi aziendali spesso impiegano il Single Sign-On per facilitare l’accesso degli utenti a diverse risorse.
L’hash di una password, una volta ottenuto, può essere utilizzato in questo contesto per accedere a molteplici servizi senza necessità di ulteriori autenticazioni.

Lateral Movement

Tramite l’accesso ottenuto, l’hacker può finalmente spostarsi lateralmente nella rete, accedendo ad altri sistemi utilizzando lo stesso hash o raccogliendo nuovi hash per espandere il suo controllo su altri account e risorse.

Escalation dei privilegi

Spesso, l’obiettivo finale è ottenere l’accesso a un account con privilegi amministrativi, permettendo all’attaccante di controllare interamente il sistema o la rete.

Persistenza

Al fine di mantenere la sua preseza all’interno del network, l’hacker può installare backdoor o altri strumenti per mantenere l’accesso nel tempo, anche se le password degli utenti vengono cambiate. Naturalmente, il successo di un attacco PtH dipende dalla capacità dell’attaccante di rimanere anonimo, sfruttando la normalità degli hash delle password nel processo di autenticazione.

pass the hash attacco

Vulnerabilità sfruttate

Gli attacchi Pass the Hash sfruttano vulnerabilità specifiche nei meccanismi di autenticazione e nella gestione delle credenziali degli ambienti di rete.
Queste vulnerabilità possono essere riassunte nei seguenti punti:

Memorizzazione hash non protetta
In molti sistemi, gli hash delle password vengono memorizzati in posizioni accessibili come il processo LSASS (Local Security Authority Subsystem) su sistemi Windows. Se un attaccante ottiene l’accesso amministrativo a un sistema, può estrarre questi hash senza grandi difficoltà.

Autenticazione con Hash
Il protocollo NTLM (New Technology LAN Manager) utilizzato nei sistemi Windows permette l’autenticazione utilizzando direttamente l’hash della password. Ciò significa che se un attaccante riesce a intercettare l’hash, può autenticarsi come se avesse la password effettiva.

Single Sign-On (SSO)
Il SSO è un sistema di gestione delle identità che consente agli utenti di accedere a molteplici risorse di un sistema con un’unica serie di credenziali.
Sebbene aumenti la comodità per gli utenti legittimi, offre anche agli attaccanti la possibilità di accedere a diverse risorse della rete se riescono a ottenere un unico set di credenziali hash.

Mancanza di salting
A differenza di altri sistemi di gestione delle password, NTLM non impiega una tecnica chiamata “salting“, che aggiunge casualità alle password prima che vengano hashate. Questo riduce la sicurezza degli hash e li rende più vulnerabili agli attacchi.

Debolezze nel Protocollo NTLM
Nonostante gli aggiornamenti e le alternative più sicure come Kerberos, NTLM è ancora ampiamente utilizzato per motivi di compatibilità. Le sue debolezze intrinseche lo rendono un obiettivo primario negli attacchi PtH.

Policy di sicurezza inadeguate
Molti ambienti non implementano policy di sicurezza che limitano l’uso di credenziali ad alto privilegio o non impongono un cambio di password regolare, aumentando così il tempo durante il quale un hash compromesso può rimanere valido.
La combinazione di queste vulnerabilità crea un terreno fertile per gli attacchi PtH.

pass the hashing cyber attack example

Difesa e prevenzione

La difesa dagli attacchi “Pass the Hash” richiede misure robuste, ma facilmente reperibili soprattutto se l’organizzazione si affianca ad un fornitore di servizi di sicurezza informatica affidabili:

L’introduzione di un sistema MFA aggiunge barriere critiche all’autenticazione che un hash da solo non può superare. Per questo motivo è considerata una pratica fondamentale per proteggersi dagli attacchi.

Inoltre, all’interno dell’organizzazione è efficace che a ciascun utente vengano assegnati diritti utente limitati alle esigenze operative, così facendo si limita il potenziale impatto di account compromessi. Passando poi agli interventi sulla rete, la soluzione di segmentazione contribuisce a ridurre la superficie di attacco.

Nel complesso, il ricorso ai servizi di un SOC e SIEM per il tracciamento di azioni sospette, come movimenti anomali o accessi non autorizzati sono la soluzione chiave per proteggersi da queste minacce.