Cómo el SSO puede dar lugar a ataques Pass-The-Hash
AirTags de Apple, Google Maps y tecnología SSO, de inicio de sesión único. ¿Qué tienen en común estos tres avances tecnológicos aparentemente aleatorios? Pues que se crearon para hacer más cómoda nuestra vida diaria, pero se han utilizado con fines perversos. Los acosadores utilizan los AirTags para rastrear el paradero de víctimas desprevenidas, los delincuentes planean ataques y robos utilizando vistas detalladas de Google Maps y los ciberdelincuentes aprovechan el uso generalizado de la tecnología de inicio de sesión único (SSO) para entrar en las redes y lanzar ciberataques.
Conseguir acceso a cuentas empresariales de bajo nivel es algo que, por desgracia, se puede hacer fácilmente con los típicos ataques de phishing, y es la primera fase de la mayoría de los ataques de ransomware. Sin embargo, esas cuentas rara vez permiten a los hackers acceder a los datos más valiosos de una empresa. Para sacar provecho de un ataque, un ciberdelincuente tiene que ir más allá. Tiene que moverse por la red de la organización lateralmente, aumentando sus privilegios a medida que avanza para obtener acceso a datos altamente sensibles, que luego pueden cifrarse para pedir un rescate o filtrarse en la darkweb.
Recientemente, los ciberdelincuentes han empezado a recurrir a los ataques de tipo Pass The Hash para realizar su trabajo y exigir cuantiosasrecompensas . En este tipo de ataque, los atacantes obtienen credenciales cifradas para acceder a diferentes sistemas hasta que consiguen su botín: acceso a servidores de archivos y aplicaciones, controladores de dominio y mucho más.
El SSO y los ataques Pass The Hash: Una pareja perfecta en el paraíso de los hackers
Las empresas tienen sistemas tecnológicos complicados y en continua expansión, repletos de multitud de aplicaciones y programas a los que los empleados necesitan acceder a diario. Para agilizar la experiencia de usuario de los empleados, mejorar la productividad y eliminar la fatiga de tener que recordar las contraseñas, manteniendo al mismo tiempo la seguridad de las aplicaciones, muchas organizaciones han implantado la tecnología de inicio de sesión único (SSO).
Sin embargo, a pesar de todas las ventajas que ofrece, la tecnología de autenticación SSO de Windows en particular, conocida como New Technology LAN Manager (NTLM), tiene una vulnerabilidad aprovechable a la que los hackers no pueden resistirse. El problema radica en que NTLM almacena las contraseñas en hash en el servidor y en el controlador de dominio, pero no les aplica un “salt”. Esto significa que, si un hacker obtiene las credenciales hash almacenadas en NTLM de un usuario, puede autenticar una sesión sin conocer la contraseña en texto plano real del usuario.
Aunque el Directorio Activo (Active Directory) ha sustituido a NTLM como protocolo de autenticación para Windows, todos los sistemas Windows siguen utilizando NTLM para permitir la compatibilidad con servidores antiguos, por lo que la vulnerabilidad sigue existiendo y constituye el punto de entrada perfecto para un ataque Pass The Hash.
Los ataques Pass The Hash no son nuevos, ya que existen desde hace más de dos décadas. Al igual que otros ataques basados en la identidad, los ciberdelincuentes acceden inicialmente a la cuenta de un empleado mediante un simple ataque de phishing. Esas credenciales robadas permiten al hacker iniciar sesión exactamente como un empleado real y acceder a cualquier aplicación a la que tenga acceso el empleado. Una vez que entran en la red, pueden utilizar herramientas como Mimikatz o Metasploit para analizar la memoria y extraer y guardar todos los hashes de contraseñas sin cifrar.
Si los primeros hashes que encuentran no ofrecen acceso a nivel de administrador, los hackers pueden lanzar un ataque de fragmentación de hashes, desplazándose lateralmente e iniciando sesión en otras estaciones de trabajo para recopilar hashes adicionales hasta que encuentren la contraseña de un administrador. Armados con ese nivel de acceso, los hackers pueden robar datos, modificar registros, crear puertas traseras o instalar malware.
Hive ataca a Microsoft Exchange Server con el ataque Pass The Hash
El software obsoleto y las vulnerabilidades sin parchear son habituales en las empresas y son algo demasiado atractivo para que los hackers lo dejen pasar. En los últimos meses, los clientes de Microsoft Exchange Server que no parchearon las tres vulnerabilidades conocidas de ProxyShell, se vieron afectados por una oleada de ataques de tipo Pass The Hash facilitados por la plataforma de ransomware como servicio (RaaS) conocida como Hive. Según el equipo forense de Varonis, que analizó las tácticas de Hive, uno de los ataques se completó apenas 72 horas después de infiltrarse en la red de la empresa.
Varonis descubrió que, después de explotar ProxyShell, los atacantes abrieron una puerta trasera usando web shell, lo que les proporcionó una ruta de acceso al servidor objetivo. A continuación, desplegaron código Powershell con privilegios de nivel SYSTEM y lanzaron una baliza Cobalt Strike. Después, crearon una nueva cuenta de usuario admin y robaron el hash NTLM utilizando Mimikatz. Con el hash NTLM del administrador del dominio en sus manos, lo reutilizaron en un ataque Pass The Hash, desplazándose lateralmente y tomando el control de la cuenta del administrador del dominio.
Los atacantes escanearon la red en busca de nombres de archivo que incluyeran la palabra “contraseña”, recopilaron direcciones IP y nombres de dispositivos, RDP a servidores de copia de seguridad y mucho más. Por último, entregaron y ejecutaron una carga útil de ransomware llamada Windows.exe, que cifró todos los datos de la empresa, borró los registros de eventos, eliminó las instantáneas y desactivó las herramientas de seguridad. Tras el cifrado, la empresa víctima recibió una nota del ransomware en la que se detallaba cómo podía obtener una clave de cifrado y evitar que sus datos se filtraran en Internet.
Detección de los ataques Pass The Hash
Parte de lo que hace que estos ataques sean tan peligrosos, es que son extremadamente difíciles de detectar. Como los ataques Pass The Hash utilizan contraseñas cifradas, las herramientas de seguridad no pueden saber si la persona que está al otro lado de la pantalla es un empleado autorizado o un intruso. Las contraseñas seguras tampoco ofrecen ninguna defensa, ya que los atacantes no necesitan conocer la contraseña original del usuario. Además, y en el caso concreto de los ataques Hive, las herramientas de seguridad quedaron inutilizadas, eliminando otra capa de defensa habitualmente fiable.
El poder de conocer al enemigo
En el matrizATT&CK de MITRE, el ataque Pass The Hash está clasificado como una táctica de evasión de defensas, lo que significa que los atacantes lo utilizan para evitar ser detectados durante su ataque, que incluye técnicas como desactivar el software de seguridad, cifrar los datos y abusar de los “procesos de confianza” para ocultar y enmascarar su malware.
En lugar de examinar los ataques desde la perspectiva del defensor, el frameworkmatriz MITRE ATT&CK ofrece una visión crítica del punto de vista del atacante y de los procesos internos, desde la preparación hasta la ejecución. Las organizaciones con los equipos internos adecuados pueden considerarse afortunadas, ya que pueden aplicar lo aprendido con MITRE para mejorar proactivamente sus defensas de seguridad.
Sin embargo, muchas PYMES y PSM no disponen de los conocimientos internos necesarios, lo que las deja en desventaja y expuestas a un posible ataque. Para estas empresas, la mejor forma de prevenir o detectar ataques es incorporar una plataforma SOC como CYREBRO, que utiliza el matriz de MITRE ATT&CK para informar y desarrollar algoritmos de detección avanzados que responden a las amenazas más nuevas y emergentes. Con un SOC a su lado, las empresas más pequeñas pueden lograr las mismas medidas de seguridad reforzadas que las corporaciones, lo que las hace menos vulnerables a los ataques y más capaces de identificarlos y mitigarlos en caso de que se produzcan.