Qu’est-ce qu’une attaque Pass the Hash et comment ça marche ?
Entrer vos qualifications chaque fois que vous souhaitez vous connecter à un système peut être épuisant, surtout lorsque vous vous connectez régulièrement au système. Vous pouvez également négliger vos mots de passe.
La mise en œuvre d’un système d’exploitation qui offre une expérience d’authentification unique aux utilisateurs vous évite de ressaisir vos informations de connexion à chaque fois. Mais il y a un problème avec ça. Les attaquants peuvent manipuler vos informations d’identification conservées dans le système via une frappe Pass-the-Hash (PtH).
Ici, nous verrons comment fonctionne une grève Pass-the-Hash et comment vous pouvez la réduire.
Qu’est-ce qu’une attaque Pass the Hash ?
Le hachage est le processus de conversion de chaînes de caractères directement en un code, ce qui le rend beaucoup plus court et aussi beaucoup plus facile. C’est l’un des grands acteurs de la cybersécurité qui est vital pour arrêter les violations de données.
Les administrateurs d’applications Web cryptent les données ainsi que les messages pour empêcher leur accès non approuvé. Bien que ces données restent confidentielles, le hachage aide à confirmer leur stabilité. Il empêche toute personne d’endommager les documents ou de modifier leur contenu et de les proposer ensuite comme données d’origine.
Un hachage ne peut pas être retourné après traduction. Il permet uniquement d’identifier si 2 fichiers sont similaires ou non sans déterminer leurs matériaux. Avant d’accéder à un système ou à une solution sur le réseau, vous devez vous authentifier en fournissant votre nom d’utilisateur ainsi que votre mot de passe. Actuellement, ces informations sont conservées dans la source de données pour une comparaison future lorsque vous essayez de visiter à nouveau.
Vos mots de passe sont en clair, ce qui les rend beaucoup moins sécurisés. Et si un agresseur peut accéder à la base de données, il peut prendre votre mot de passe et obtenir un accès non autorisé à votre compte. La situation va certainement s’aggraver si vous faites partie de ces utilisateurs qui utilisent un seul mot de passe pour différents comptes. L’agresseur utilisera le mot de passe pris pour accéder à vos autres comptes.
Alors, comment le hachage entre-t-il en jeu ici ?
Le système de hachage transforme votre mot de passe de message clair en informations qui ne peuvent pas être modifiées pour revenir à son mot de passe d’origine. Une fois votre mot de passe haché et également enregistré dans la mémoire du système, il est utilisé pour vérifier votre identification la prochaine fois que vous souhaitez accéder à une solution.
Le hachage protège les comptes des clients contre tout accès non autorisé. Pourtant, sauf tant que les cybercriminels ont réellement créé une méthode pour récolter le hachage. La vulnérabilité de sûreté et de sécurité détectée dans l’authentification solitaire (SSO) a en fait ouvert la voie à la grève Pass-the-Hash. Il est apparu pour la première fois en 1997 et existe depuis 24 ans.
Un assaut Pass-the-Hash est similaire aux astuces que les assaillants utilisent pour prendre les mots de passe des utilisateurs. C’est l’une des attaques les plus courantes mais sous-estimées lorsqu’elle implique le cambriolage et l’utilisation des informations d’identification de l’utilisateur.
Avec la stratégie Pass-the-Hash, les ennemis n’ont pas besoin de casser le hachage. Il peut être réutilisé ou transmis à un serveur Web d’authentification. Les hachages de mot de passe restent statiques d’une session à l’autre jusqu’à ce qu’ils soient modifiés. Pour cette raison, les agresseurs utilisent les protocoles d’authentification des systèmes d’exploitation pour balayer les mots de passe hachés.
Comment fonctionne une attaque Pass the Hash ?
Les attaques Pass-the-Hash sont les plus courantes sur les systèmes Windows, bien qu’elles puissent se produire sur divers autres systèmes d’exploitation comme Linux et UNIX. Les cyberpunks essaient constamment de trouver des détails techniques dans ces systèmes pour accéder à leurs victimes.
La sensibilité de Windows dépend de son authentification NTLM, qui exécute une fonctionnalité d’authentification unique (SSO). Il permet aux individus d’entrer leurs mots de passe une fois et d’accéder à tout type d’attribut qu’ils désirent.
Voici exactement comment cela fonctionne :
Lorsque vous vous enregistrez sur un système Windows pour la première fois, il hache votre mot de passe et le stocke également dans la mémoire du système. C’est une ouverture pour que les ennemis exploitent votre mot de passe haché. Ils peuvent avoir un accès physique à votre système, supprimer sa mémoire énergétique ou le contaminer avec des logiciels malveillants et également diverses autres méthodes.
Des outils tels que Metasploit, Gsecdump et Mimikatz sont utilisés pour supprimer les informations d’identification hachées de la mémoire du système. Cela fait, les assaillants recyclent vos informations d’identification pour vous connecter en tant que vous et accéder à toutes les applications auxquelles vous avez des droits.
Si un ami ou un associé s’est connecté à votre système, le pirate peut également collecter son hachage. Gardez à l’esprit qu’il s’agit d’une méthode de mouvement latéral. Dans le pire des cas, un pirate parvient à réguler des systèmes qui exécutent une entreprise entière ou un cadre informatique. Une fois à l’intérieur, ils peuvent voler des informations sensibles, personnaliser des documents ou installer des logiciels malveillants.
Comment atténuer une attaque Pass the Hash
Voici quelque chose que vous devez savoir sur l’assaut Pass-the-Hash. Ce n’est pas un bug mais un attribut. Le protocole d’authentification unique exécuté avec un hachage évite aux utilisateurs la difficulté d’avoir à ressaisir leurs mots de passe. Ainsi, les cyberpunks profitent désormais de la fonction Windows SSO, le protocole de communication des systèmes Linux et Unix à des fins malveillantes.
Vous pouvez diminuer vos chances de succomber à de telles agressions en vous conformant à ces remèdes fiables.
1. Activer la protection des informations d’identification de Windows Defender
Le Windows Defender Credential Guard est un attribut de sécurité qui inclut les systèmes Windows 10 et plus. Il protège les informations sensibles stockées sur le système. Le service de sous-système de l’autorité de sécurité locale (LSASS) impose un plan de sécurité au système Windows.
2. Appliquer le modèle de sécurité du moindre privilège
Voici les choses : si vous êtes propriétaire d’une entreprise locale et que des personnes travaillent pour vous, limitez leur accès aux droits légaux aux seules sources et documents nécessaires pour effectuer leurs tâches dans le système de réseau.
Éliminez les libertés civiles inutiles des administrateurs et n’accordez également des avantages qu’aux applications utilisées. Cela réduira la capacité d’un pirate à augmenter son accès et son autorisation.
3. Redémarrez les systèmes après la déconnexion
N’oubliez pas que l’objectif est de réduire le risque de succomber à un assaut Pass-the-Hash. Étant donné que le système stocke le hachage du mot de passe dans sa mémoire, le redémarrage de votre système informatique après la déconnexion supprimera le hachage de la mémoire du système.
4. Configurer le logiciel antimalware
Les cybercriminels font un excellent travail en utilisant des logiciels malveillants pour mettre en péril les réseaux. Les dispositifs automatisés tels que les logiciels anti-malware sont utiles pour mettre en place une protection contre ces cyberattaques. Ces outils identifient les documents infectés ou nuisibles dans votre système et les neutralisent avant qu’ils ne frappent.
Lors du montage d’un logiciel anti-malware sur vos gadgets, vous protégez votre système contre les logiciels malveillants. Vous pouvez également utiliser des systèmes de logiciels malveillants en tant que service pour obtenir des services de logiciels malveillants personnalisés.
5. Mettez à jour vos systèmes d’exploitation
Pourquoi s’en tenir à une ancienne version d’un système d’exploitation avec beaucoup moins de sécurité alors que vous pouvez le mettre à jour ?
Les systèmes d’exploitation les plus récents offrent généralement une bien meilleure expérience utilisateur et disposent de défenses encore plus robustes. Par exemple, la variante 1703 de Windows 10 possède plusieurs fonctions de sécurité qui protègent les individus sur les réseaux.
Adoptez une approche efficace pour réussir l’attaque par hachage
Les attaques Pass-the-Hash affecteront toujours les systèmes d’exploitation qui supportent une authentification unique. Alors que la fonction de hachage tente de protéger votre mot de passe, les attaques contournent la sécurité pour prendre les mots de passe hachés avec de nombreux outils.
Prenez la responsabilité de sécuriser vos qualifications en mettant à jour le système d’exploitation actuel, en accordant des consentements aux applications uniquement utilisées et en installant également une application logicielle anti-malware sur votre système informatique. Les cybercriminels ne peuvent passer le hachage que lorsqu’il y a une autoroute pour eux. Il est de votre responsabilité de fermer tous les aspects techniques de votre réseau.