Attaque Pass the Hash

Qu’est-ce qu’une attaque Pass the Hash ?

Il s’agit d’un type d’attaque de cybersécurité au cours de laquelle un cyberadversaire vole des identifiants utilisateur « hachés » et les utilise pour créer une nouvelle session utilisateur sur le même réseau. À la différence d’autres types de vol d’identifiants, lors d’une attaque Pass the Hash, le cyberattaquant ne doit pas connaître ni craquer le mot de passe pour accéder au système. À la place, il utilise une version stockée du mot de passe pour ouvrir une nouvelle session.

Qu’entend-on par hachage de mot de passe ?

Le hachage de mot de passe est une fonction mathématique unidirectionnelle qui transforme le mot de passe d’un utilisateur en une chaîne de texte qui ne peut pas être reconstituée ou décodée pour révéler le mot de passe en question. En bref, les mots de passe ne sont pas stockés sous forme de texte ou de caractères, mais sous forme de symboles de hachage quelconques.

Pourquoi les attaques Pass the Hash représentent-elles un problème grandissant ?

Avec la généralisation progressive de la technologie d’authentification unique (SSO) pour faciliter le télétravail et limiter les points de friction de l’expérience utilisateur, les cyberattaquants ont pris conscience de la vulnérabilité intrinsèque des mots de passe et des identifiants utilisateur stockés.

Les attaques basées sur l’identité, telles les attaques Pass the Hash, qui consistent à usurper l’identité d’utilisateurs légitimes, sont particulièrement difficiles à détecter car la plupart des solutions de cybersécurité traditionnelles sont incapables de faire la différence entre un utilisateur réel et un cyberattaquant qui se fait passer pour ce dernier.

Il est essentiel de se protéger contre les attaques Pass the Hash, car cette technique sert souvent de passerelle pour lancer d’autres attaques plus graves, comme la compromission de données, le vol d’identités et des attaques de ransomware ou de logiciel malveillant.

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger

Comprendre les attaques Pass the Hash

Comprendre les mécanismes d’une attaque Pass the Hash nécessite d’abord de se familiariser avec le fonctionnement du système de gestion des identités et des accès (IAM) d’une entreprise. L’IAM est un cadre qui permet à l’équipe informatique d’une entreprise d’authentifier les utilisateurs et de contrôler l’accès aux systèmes, aux réseaux et aux ressources en fonction de l’identité de chaque utilisateur.

Les entreprises peuvent stocker les mots de passe des utilisateurs de trois façons dans le système IAM :

1. Au format texte brut, considéré comme peu sûr et déconseillé
2. Au moyen du chiffrement, qui offre une meilleure protection, mais qui est réversible à l’aide du déchiffrement ou de la clé de déchiffrement
3. À l’aide d’une fonction de hachage qui, comme nous l’avons mentionné ci-dessus, ne peut pas être décodée pour révéler le mot de passe

Lorsqu’un utilisateur autorisé se connecte au système d’une entreprise, il exécute la fonction de hachage créée au moment où il a défini pour la première fois ses identifiants. Le système authentifie l’utilisateur car la valeur de hachage saisie par ce dernier correspond à celle conservée dans le système.

Déroulement d’une attaque Pass the Hash

Lors d’une telle attaque, le cyberattaquant accède généralement au réseau à l’aide d’une technique d’ingénierie sociale, telle que le phishing, qui consiste à jouer sur les émotions, comme la peur, l’empathie ou la cupidité, d’une personne pour la convaincre de partager des informations personnelles ou de télécharger un fichier malveillant.

Dès que le cyberattaquant obtient l’accès au compte de l’utilisateur, il utilise divers outils et techniques pour explorer la mémoire active et collecter des données qui le conduiront aux hachages.

Armé d’un ou plusieurs hachages de mots de passe valides, le cyberattaquant obtient alors un accès complet au système, ce qui facilite ses déplacements latéraux au sein du réseau. Pendant la période où le cyberattaquant usurpe l’identité de l’utilisateur dans les différentes applications, il se livre souvent à la collecte de hachages, et accumule ainsi des hachages supplémentaires dans l’ensemble du système qu’il utilisera ensuite pour accéder à d’autres parties du réseau, ajouter des privilèges aux comptes, cibler un compte à privilèges ou encore créer des portes dérobées et d’autres passerelles pour réaccéder ultérieurement aux systèmes.

Qui est vulnérable aux attaques Pass the Hash ?

Les clients Windows Server et les entreprises qui utilisent Windows New Technology LAN Manager (NTLM) sont tout particulièrement vulnérables aux attaques Pass the Hash.

NTLM est une suite de protocoles de sécurité de Microsoft utilisée pour confirmer l’identité des utilisateurs et protéger l’intégrité et la confidentialité de leurs activités. Fondamentalement, NTLM est un outil d’authentification SSO qui s’appuie sur un protocole de stimulation/réponse pour confirmer l’identité d’un utilisateur sans lui demander de saisir un mot de passe, un processus connu sous le nom d’authentification NTLM.

NTLM comportait plusieurs vulnérabilités de sécurité connues liées au hachage et au « salage » des mots de passe. Avec NTLM, les mots de passe stockés sur le serveur et le contrôleur de domaine ne sont pas « salés » (concaténés). En d’autres termes, aucune chaîne aléatoire de caractères n’est ajoutée au mot de passe haché pour renforcer sa protection contre le craquage. Les cyberadversaires qui possèdent un hachage de mot de passe n’ont donc pas besoin du mot de passe sous-jacent pour authentifier une session.

La cryptographie de NTLM ne permet pas non plus de tirer parti des progrès réalisés au niveau des algorithmes et du chiffrement qui améliorent sensiblement les fonctionnalités de sécurité.

Si Kerberos a remplacé NTLM comme protocole d’authentification par défaut dans Windows 2000 et les domaines Active Directory (AD) ultérieurs, il est toujours présent dans tous les systèmes Windows pour assurer la compatibilité entre les serveurs et clients plus anciens. Par exemple, les ordinateurs qui exécutent toujours Windows 95, Windows 98 ou Windows NT 4.0 utilisent le protocole NTLM pour l’authentification réseau avec un domaine Windows 2000. De leur côté, les ordinateurs Windows 2000 utilisent NTLM lors de l’authentification de serveurs Windows NT 4.0 ou antérieurs, ou lorsqu’ils accèdent à des ressources hébergées dans des domaines Windows 2000 ou antérieurs. NTLM sert également à authentifier les ouvertures de session locales avec des contrôleurs de domaine non Windows.

Analyse d’une attaque Pass the Hash récente

En avril 2022, une plateforme de ransomware-as-a-service (RaaS) appelée Hive a exploité une technique Pass the Hash pour mener une attaque coordonnée qui visait un grand nombre de clients Microsoft Exchange Server, dont des entreprises des secteurs de l’énergie, des services financiers, des ONG et de la santé.

L’attaque a exploité une vulnérabilité spécifique à Microsoft Exchange Server, baptisée ProxyShell. Même si cette vulnérabilité a été rapidement corrigée par Microsoft, de nombreuses entreprises n’ont pas mis à jour leur logiciel et sont restées vulnérables.

Les cyberattaquants ont exploité cette vulnérabilité ProxyShell pour installer un script web de porte dérobée qui a été utilisé pour exécuter du code malveillant sur le serveur Exchange. Ils ont ensuite pris le contrôle du système à l’aide de la technique Pass the Hash, en utilisant Mimikatz pour voler le hachage NTLM. Hive a ensuite lancé une mission de reconnaissance sur le serveur, recueilli des données et déployé la charge active du ransomware.

Atténuation d’une attaque Pass the Hash

Pour éviter d’être victimes d’attaques Pass the Hash, les entreprises doivent comprendre que les bonnes pratiques de sécurité habituelles, telles que le respect des exigences en matière de mots de passe et la surveillance de tentatives répétées de connexion, sont d’une utilité limitée pour contrer cette méthode d’attaque. Heureusement, les entreprises peuvent prendre plusieurs mesures efficaces pour prévenir les attaques Pass the Hash et limiter leur impact :

1. Activer l’authentification multifacteur (MFA).

Les entreprises qui implémentent l’authentification multifacteur (MFA) sont bien mieux protégées contre les attaques Pass the Hash, car les cyberattaquants ne disposent généralement que du hachage utilisateur, lequel ne leur est d’aucune utilité sans facteur d’authentification secondaire. La MFA peut inclure une combinaison d’identifiants de compte classiques, un jeton de sécurité transmis par SMS, un outil d’authentification, ou encore une vérification biométrique, pour confirmer l’identité de l’utilisateur avant d’accorder l’accès au service demandé.

2. Limiter l’accès réseau et les privilèges des comptes.

Pour les entreprises qui n’implémentent pas la MFA, un hachage compromis peut être le point de départ d’une compromission majeure. C’est la raison pour laquelle les entreprises doivent prendre des mesures pour limiter l’accès réseau, et ainsi minimiser les déplacements du cyberpirate et les dommages. Voici quelques techniques souvent utilisées :

• Principe du moindre privilège : le principe du moindre privilège (POLP) est un concept et une pratique de sécurité informatique qui consiste à octroyer aux utilisateurs des droits d’accès limités en fonction des tâches qu’ils doivent réaliser dans le cadre de leur travail. En vertu de ce principe, seuls les utilisateurs autorisés dont l’identité a été vérifiée disposent des autorisations nécessaires pour effectuer des tâches dans certains systèmes et applications ou accéder à certaines données ou ressources. Le principe du moindre privilège est généralement considéré comme l’une des pratiques les plus efficaces pour renforcer le niveau de cybersécurité de l’entreprise, dans la mesure où il permet à celle-ci de contrôler et de surveiller l’accès au réseau et aux données.
• Zero Trust : le Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs (internes ou externes au réseau de l’entreprise) soient continuellement authentifiés, autorisés et validés avant de se voir accorder l’accès aux données et aux applications. Il combine plusieurs technologies avancées, telles que l’authentification multifacteur basée sur le risque, la protection de l’identité, la sécurité des endpoints de nouvelle génération et une protection robuste des workloads cloud pour vérifier l’identité des utilisateurs et des systèmes, prendre en compte le moment précis de l’accès et gérer la sécurité du système. Le cadre Zero Trust prévoit aussi le chiffrement des données, la sécurisation de la messagerie et la vérification de l’hygiène des ressources et des endpoints avant qu’ils se connectent aux applications.
• Gestion des accès privilégiés (PAM) : la gestion des accès privilégiés (PAM) est une stratégie de sécurité qui vise à préserver la sécurité des identifiants des comptes administrateur à privilèges.
• Segmentation selon l’identité : la segmentation selon l’identité est une méthode destinée à limiter l’accès des utilisateurs aux applications et aux ressources en fonction des identités.

3. Adopter une bonne hygiène IT.

Un outil d’hygiène IT tel que CrowdStrike Falcon Discover™ offre une visibilité sur l’utilisation des identifiants dans l’entreprise afin de détecter des activités administratives potentiellement malveillantes. La fonction de surveillance des comptes permet aux équipes de sécurité de vérifier la présence de comptes à privilèges créés par des cyberattaquants pour conserver leur accès. Elle veille également au changement régulier des mots de passe, ce qui limite l’utilisation d’identifiants volés dans le temps.

4. Réaliser des tests d’intrusion.

Un test d’intrusion, parfois appelé pen test ou piratage éthique, est une autre mesure importante que peuvent prendre les entreprises pour se protéger des attaques basées sur l’identité, notamment les attaques Pass the Hash. Un test d’intrusion simule une cyberattaque observée dans le monde réel afin de tester les capacités de cybersécurité d’une entreprise et d’en exposer les vulnérabilités. Il comprend l’identification du système, l’énumération, la découverte des vulnérabilités, l’exploitation, l’élévation des privilèges, les déplacements latéraux et les objectifs.

5. Implémenter une solution de gestion des droits d’accès à l’infrastructure cloud (CIEM).

À l’heure où les entreprises migrent une part croissante de leurs systèmes et processus métier vers le cloud, il devient de plus en plus compliqué de définir les autorisations et de surveiller l’accès. Une solution de gestion des droits sur l’infrastructure cloud (CIEM) est une solution SaaS centrée sur les identités qui aide les entreprises à gérer les droits pour l’ensemble des ressources de leur infrastructure cloud. Son objectif premier est de limiter les risques liés à l’octroi involontaire et non contrôlé d’autorisations excessives à des ressources cloud.

6. Adopter un Threat Hunting proactif.

Un véritable Threat Hunting proactif, tel que CrowdStrike Falcon OverWatch™, permet de traquer les menaces 24 h sur 24 et 7 j sur 7 afin de détecter les attaques inconnues et furtives utilisant les identifiants volés sous le couvert de l’identité d’utilisateurs légitimes. Ces types d’attaques peuvent en effet échapper aux dispositifs de sécurité standard. En s’appuyant sur l’expertise acquise lors des « affrontements » quotidiens avec des cyberattaquants APT sophistiqués, l’équipe OverWatch identifie et suit des millions d’indices infimes de traque pour vérifier s’ils sont légitimes ou malveillants et, le cas échéant, avertit les clients.