Microsoft geeft advies tegen hash-dieven
Aanvallers die in een organisatie een computer weten te over te nemen proberen hierna andere computers te kapen. Een favoriete techniek om dit te doen is 'Pass-the-Hash' (PtH). Een PtH-aanval lijkt erg op aanvallen waarbij wachtwoorden worden gestolen, alleen worden dit keer geen wachtwoorden buitgemaakt, maar de hash-waarde van het wachtwoord.
Met de hash-waarde kan de aanvaller op andere machines en domeinen inloggen. Om deze techniek te gebruiken moet een aanvaller eerst lokale administratorrechten op een computer in de organisatie hebben. Vervolgens is het mogelijk om wachtwoord-hashes uit het geheugen of de harde schijf te kopiëren.
Via de PtH-techniek is het vervolgens mogelijk om toegang tot verbonden computers te krijgen, waaronder de domain controller en andere servers die gevoelige informatie opslaan.
Het mitigeren en bestrijden van PtH-aanvallen vormen dan ook belangrijke beveiligingsmaatregelen, aldus Microsoft. "Deze aanvallen komen inmiddels veel voor en zijn een zorg voor veel van onze klanten", zo laat de softwaregigant in een nieuwe whitepaper weten.
Advies
In totaal worden drie basisadviezen gegeven, aangevuld met een reeks aanvullende aanbevelingen. Als eerste moeten beheerders belangrijke domain accounts beperken en beschermen. "Voorkom de mogelijkheid van systeembeheerders om per ongeluk belangrijke inloggegevens aan computers met een hoger risico bloot te stellen."
Als tweede moeten systeembeheerders lokale accounts met beheerdersrechten beperken en beschermen. Het derde en laatste advies is het beperken van inkomend verkeer via de Windows Firewall. "Voorkom dat aanvallers lateraal vanaf een gehackt workstation bewegen door inkomende verbindingen op alle workstations met de lokale Windows Firewall te blokkeren."
Mocht je zelf willen testen dan heeft Metasploit daar een module voor.
Lokale administratorrechten moet geen probleem zijn, testen doe je op je eigen (werk)netwerk.
IRL heb je natuulijk al een groot probleem wanneer een aanvaller lokale administratorrechten heeft/verkrijgt. PtH is een redelijk snelle manier om toegang tot de rest van het netwerk te krijgen maar er zijn vaak meerdere wegen die naar Rome leiden. Goed beheer van alles wat in het netwerk hangt zou de eerste aanval al moeten stoppen of anders beletten zich verder te verspreiden. Wanneer er een server o.i.d. met "geheime data" in het netwerk hangt kan ik me niet voorstellen dat er geen degelijke firewall aanwezig is.
Dat is helaas niet het hele verhaal. Bij veel bedrijven is het beheerder wachtwoord op alle werkplekken (en soms zelfs op de servers) aan elkaar gelijk, ook bij goed beheerde netwerken. Indien je kwaad wilt, is het achterhalen van de hash van dat wachtwoord niet zo'n enorm probleem. Een boot CD is veelal voldoende. Met command line tools als whosthere.exe, iam.exe en msvctl.exe kun je vervolgens heel wat schade aanrichten. Toegegeven, het is een aanval van binnenuit en daar zijn weinig zaken tegen opgewassen, zeker in omgevingen waar het volwassenheidsniveau te wensen overlaat. Technieken die een passsing the hash aanval kunnen detecteren, zoals security monitoring, veelal zijn (a) niet, (b) niet goed of (c) zodanig geimplementeerd dat de aanval onder de radar blijft. De voornaamste poort die bovenstaande tools nodig hebben is volgens mij 445. De meeste firewalls hebben die poort open staan (voor zover er op werkplekken al een firewall actief is die volledig is dichtgetimmerd), dus ook bij degelijke firewalls is het een verloren zaak.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
