IoT DDos azienda attacchi informatici cybersecurity ransomware Cisco smartphone

Nella Cyber Security, il "Pass the Hash" è una tecnica di hacking che consente ad un utente malintenzionato di autenticarsi su più sistemi di una stessa rete pur senza conoscere direttamente le credenziali della vittima, senza neppure il bisogno di crackare la password. Che cos'è? Come funziona? Posso proteggermi?

La tecnica nasce nel 1997 ad opera di Paul Ashton. All'epoca cominciava a diffondersi lo sconosciuto sistema operativo Microsoft Windows NT. Nel corso degli ultimi 20 anni si è evoluto, di pari passo con il sistema operativo di casa Microsoft, tanto da far tornare a parlare di sé; un po' come nella moda, passano gli anni ma le grandi cose non passano mai, diventano solo vintage.

Ecco, vintage si, ma non vecchio, se non per esperienza.
Il Pass The Hash nel corso di questi anni si è solo evoluto, rinforzato, fino ad oggi, proprio oggi, giorno in cui tu, caro lettore, stai leggendo questo articolo. Perché ne sono così sicuro? Ci ritorneremo a breve.

Cybercrime

Oggi, le medie e grandi imprese utilizzano un sistema centralizzato che permette la facile condivisione di file, cartelle ed utenze; vent'anni fa, l'implementazione di un sistema simile era solo leggermente più complicata, ma l'idea era esattamente identica. Inoltre, attraverso un sistema di identificazione unica (chiamato Single Sign-On) è possibile effettuare una sola autenticazione valida per più sistemi software o risorse informatiche alle quali un determinato utente è abilitato a livello aziendale.

Tutte queste "comodità", che ogni dipendente o dirigente aziendale ha a disposizione, comportano altrettante problematiche relative alla sicurezza. Una di queste è il Pass the Hash (d'ora in poi abbreviato in PTH). Tramite questa tecnica di hacking, è possibile acquisire i privilegi di tutti gli utenti che si sono connessi alla macchina compromessa e, man mano, utilizzare quei privilegi per muoversi lateralmente applicando il medesimo attacco. Per ogni nuova macchina della quale si prende il controllo, si ha la possibilità di muoversi anche in maniera verticale (Vertical Privilege Escalation o, semplicemente, Escalation of Privilege) se dalla macchina si riesce a recuperare l'hash generato dal login di un utente di grado amministrativo immediatamente superiore.

Facebook Hacker

Lo scopo principale è riuscire ad ottenere il controllo del server centrale che, in ambiente Microsoft, sotto un dominio di Active Directory, è chiamato Domain Controller. Le più grandi e famose campagne APT (Advanced Persistent Threat) utilizzano questa tecnica di furto e riutilizzo delle credenziali come post exploitation technique, da implementare solo dopo aver preso possesso di un sistema informatico con le autorizzazioni di amministratore locale della macchina. In ambiente Microsoft Windows 10 e Windows Server 2016, aggiornati al momento in cui si scrive questo articolo, l'attacco PTH è reso ancor più semplice con l'uso di un software gratuito e sempre aggiornato, Mimikatz, grazie al quale è possibile effettuare sia il furto che il riutilizzo delle credenziali all'interno di uno o più domini aventi Active Directory.

Piccolo Off Topic: per chiunque sia appassionato della serie TV Mr Robot, una volta letto questo articolo, sarebbe interessante riguardare la puntata 2×06.

Ciò che rende questo attacco cibernetico così importante sta nel fatto che il cybercriminale non necessita di conoscere la password vera e propria della vittima, gli basterà rubare quella che solitamente, per motivi di sicurezza – e GDPR -, viene offuscata. Tutto questo è attuabile proprio grazie ad una di quelle "comodità" di cui si parlava poc'anzi: il Single Sign-On (d'ora in avanti SSO). Quindi, tornando a noi, sono sicuro che questo attacco sia ancora attuabile al momento della stesura di queste righe. Ciò per il semplice fatto che il motivo per cui è da oltre vent'anni che il PTH esiste e minaccia ogni CED d'azienda è proprio l'esistenza del SSO.

Il PTH esiste solo e soltanto per supportare il SSO. Se non si è disposti a rinunciare al SSO, ci si espone automaticamente al PTH. In altre parole, se si necessita assolutamente di questa "comodità", allora il PTH non può essere eliminato e, nota bene, non è solo un problema dei sistemi Microsoft Windows, in quanto non si tratta degli unici ambienti ad integrare il SSO.

È possibile fare qualcosa? Mitigarlo? Rimediare?

Premesso che la difesa costa molto di più rispetto ad un cybercriminale che con il semplice uso di un software – gratuito – effettua questo attacco, vi sono alcuni accorgimenti che possono aiutare la mitigazione del fenomeno.
Tralasciando il Single Sign-On, che ad oggi è impossibile svellere, vi sono delle ottime combinazioni di hardware e software che sono in grado di prevenire o, per lo meno, di percepire tale minaccia (e molte altre).
Si parla di Intrusion Detection System (IDS) ed Intrusion Prevention System (IPS), rispettivamente, sistema di rilevazione delle intrusioni e sistema di prevenzione delle intrusioni.
La combinazione di questi software può risultare efficiente non solo per smascherare e/o eludere il PTH, ma anche per ovviare al problema delle intrusioni informatiche. Non è un sistema perfetto, non si risolve tutto, non sono software facili e, soprattutto, queste tecnologie non costano poco.