L’attaque “pass-the-hash” est un type de cyberattaque qui a suscité beaucoup d’intérêt dans l’environnement numérique actuel. Dans une attaque de type “pass-the-hash” (PtH), les pirates exploitent des mots de passe ou des identifiants de connexion hachés pour obtenir un accès non autorisé aux systèmes.
Les attaques PtH sont devenues très préoccupantes, car elles permettent aux cyberattaquants d’obtenir un accès non autorisé à des systèmes et à des informations sensibles ou confidentielles. Il est essentiel de comprendre les mécanismes des attaques PtH et de prendre les mesures préventives appropriées pour s’en protéger.
Pour ceux qui ne sont pas familiers avec les attaques de type “pass-the-hash” et les mots de passe hachés, suivez ce guide pour en savoir plus sur le fonctionnement des attaques de type “pass-the-hash”, y compris des exemples réels et des suggestions de mesures pour atténuer les attaques de type “PhH”.
Comprendre les attaques de type “pass-the-hash” (PtH)
Une attaque de type “pass-the-hash” (PtH) se produit lorsque le cyber-attaquant vole l’identifiant ou le mot de passe haché et l’utilise pour tromper un système d’authentification et générer une nouvelle session authentifiée sur le même réseau.
Une fois que le cyber-attaquant a accédé à l’ensemble de la surface d’attaque ou des systèmes, il peut mener diverses activités malveillantes, compromettre des données sensibles ou même accroître ses privilèges au sein du système.
Mais que signifie exactement le hachage d’un mot de passe ?
Un hachage de mot de passe est la version cryptée de votre mot de passe. Lorsque vous définissez un mot de passe système, le système d’exploitation calcule un hachage du mot de passe à l’aide d’une formule mathématique. Au lieu de stocker le mot de passe réel, le système stocke le hachage du mot de passe.
Ainsi, dans le cas du “pass-the-hash”, le cyber-attaquant n’a pas besoin de connaître le mot de passe réel de l’utilisateur ; il n’a besoin que du hachage du mot de passe stocké pour s’introduire et obtenir un accès non autorisé au compte de n’importe quel utilisateur. Par conséquent, pour un pirate, avoir accès à un hachage de mot de passe équivaut à avoir accès au mot de passe réel de l’utilisateur.
Comment fonctionnent les attaques de type “Pass-the-Hash
Les attaques de type “Pass-the-Hash” exploitent les vulnérabilités des comptes privilégiés, ce qui permet d’accéder sans autorisation à des systèmes critiques et de compromettre potentiellement l’ensemble de l’infrastructure du réseau.
Voici le processus étape par étape que suivent les cyber-attaquants pour réaliser des attaques de type “pass-the-hash”.
- Dans un premier temps, le pirate utilise des logiciels malveillants ou des techniques d’ingénierie sociale, comme le phishing, pour accéder au compte ou à l’appareil d’un utilisateur.
- Une fois que les pirates ont accédé au compte, ils utilisent divers outils et techniques spécialisés pour fouiller la mémoire active, ce qui leur permet de dériver des données qui les mènent aux hachages de mots de passe.
- Une fois qu’ils ont réussi à trouver des hachages de mots de passe, les pirates transmettent le hachage d’une connexion à l’autre, en exploitant la technologie de signature unique, en créant des sessions authentifiées, en se faisant passer pour des utilisateurs légitimes et en créant un mouvement latéral à travers le réseau.
- Grâce à ce mouvement latéral, les pirates continuent à voler des hachages à travers le réseau dans l’espoir de trouver et d’exploiter des hachages de comptes d’utilisateurs disposant de plus de privilèges professionnels au sein du réseau de l’entreprise.
- L’accès au hachage du mot de passe d’un compte d’utilisateur privilégié et l’accès administratif permettent aux pirates d’accéder à des informations et des fichiers beaucoup plus confidentiels et à un accès plus large au réseau et à ses données.
- Une fois que les pirates trouvent les données qu’ils recherchent, ils mènent des cyberattaques malveillantes, telles que l’usurpation d’identité, les ransomwares ou d’autres types d’atteintes à la protection des données.
Principaux éléments des attaques de type “Pass-the-Hash
Les attaques de type “Pass-the-Hash” consistent à capturer des identifiants de connexion hachés au lieu de voler des mots de passe en clair. Pour comprendre comment se défendre contre les attaques PtH, il est important de connaître leurs principaux composants et la manière dont ils sont exploités. Voici les principaux éléments des attaques de type “pass-the-hash” :
- Les hachages de mots de passe : Les cyberattaquants volent ou capturent des versions hachées de mots de passe au lieu de voler des mots de passe en clair pour obtenir un accès non autorisé à des réseaux ou à des systèmes. Ces hachages sont des chaînes de caractères de longueur fixe stockées dans les systèmes et qui sont uniques par rapport au mot de passe original.
- Outils de vidage de données d’identification : Les attaques utilisent également des outils tels que Mimikatz et d’autres qui peuvent extraire des hachages de mots de passe ou des mots de passe en clair du processus LSASS (Local Security Authority Subsystem Service) pour extraire ces informations d’identification de la mémoire des systèmes compromis.
- NTLM ou Kerberos : Les attaques de type “Pass-the-hash” sont généralement associées aux environnements Windows, tels que les protocoles d’authentification NT LAN Manager (NTLM) ou Kerberos. Ces protocoles stockent des versions hachées de mots de passe que les cyberattaquants exploitent pour accéder aux systèmes.
- Pass-the-Ticket (PtT) et Pass-the-Key (PtK) : Comme pour les attaques PtH, les cyberattaquants utilisent également les protocoles Pass-the-Key (PtK) ou Pass-the-Ticket (PtT) pour exploiter des tickets Kerberos ou des clés afin d’obtenir un accès non autorisé au lieu de hachages de mots de passe.
- Mouvement latéral : Après avoir extrait des informations d’identification hachées, les cyberattaquants les utilisent pour se déplacer ultérieurement au sein du réseau. Cela leur permet d’accéder à différents systèmes ou d’élever leurs privilèges afin d’accéder à des informations plus sensibles.
- Techniques d’évasion de la défense : Les cyberattaquants utilisent plusieurs techniques pour échapper à la détection, comme la détection des journaux, la désactivation des outils de sécurité ou l’utilisation de méthodes prudentes pour se déplacer latéralement au sein du réseau.
- Le contournement du hachage : Dans certains cas, les cybercriminels manipulent ou remplacent le hachage du mot de passe original par un nouveau hachage de mot de passe à l’aide de la technique “overpass-the-hash”, ce qui a pour effet de modifier le mot de passe du compte compromis.
Vecteurs d’attaque courants des attaques de type “Pass-the-Hash
Les comptes privilégiés, tels que ceux qui ont des privilèges d’administrateur de domaine ou d’administrateur, deviennent des cibles de choix pour les attaques PtH. Voici quelques-uns des vecteurs d’attaque les plus courants utilisés par les cyber-attaquants pour obtenir un accès non autorisé aux systèmes et effectuer des attaques de type “pass-the-hash” :
Protocoles d’authentification faibles
Les protocoles d’authentification par défaut faibles ou l’absence d’authentification multifactorielle (AMF) sont souvent susceptibles de faire l’objet d’attaques de type “pass-the-hash”. Les cyberattaquants ciblent les vulnérabilités de ces protocoles pour extraire et utiliser à mauvais escient les hachages de mots de passe et, en fin de compte, compromettre le compte en question.
Mécanismes d’authentification traditionnels
Les cyber-attaquants ciblent également les mécanismes d’authentification traditionnels qui ne disposent pas de protocoles d’authentification robustes. Comme ces protocoles ne protègent pas nécessairement les hachages de mots de passe, il est beaucoup plus facile et pratique pour les cyberattaquants de les extraire pour obtenir un accès non autorisé.
Systèmes d’exploitation Windows
Les environnements Windows, en particulier ceux qui utilisent Active Directory, sont vulnérables aux attaques de type “pass-the-hash”. En raison de l’adoption généralisée des systèmes d’exploitation Windows dans les entreprises et de la faiblesse de leurs mécanismes d’authentification, le système d’exploitation Windows est le vecteur cible le plus courant des attaques de type “pass-the-hash”.
Menaces d’initiés
Les initiés malveillants disposant d’un accès privilégié aux réseaux et aux systèmes représentent une menace importante pour les entreprises et constituent des vecteurs d’attaque courants pour plusieurs attaques de cybersécurité, notamment les attaques de type “Pass-the-hash”. Ces initiés abusent de leurs privilèges pour extraire des hachages de mots de passe afin d’effectuer eux-mêmes des attaques PtH ou d’aider d’autres attaques à le faire.
Canaux de communication réseau non sécurisés
Lorsque le canal de communication du réseau n’est pas suffisamment protégé ou crypté, il est plus facile pour les cyberattaquants d’écouter les communications, d’identifier et d’extraire les mots de passe hachés et d’effectuer des attaques PtH.
Exemples concrets d’attaques de type “Pass-the-Hash
Les attaques de type “Pass-the-Hash” ont des impacts et des conséquences graves pour les entreprises, allant de la responsabilité juridique à la violation de la conformité. Les organisations peuvent améliorer leur défense contre les attaques et protéger les informations sensibles en comprenant les exemples et les conséquences du monde réel. Voici quelques exemples concrets d’attaques de type “pass-the-hash” :
#1. L’attaque de l’équipe Diaxin : “La violation des données des patients
Le groupe d’extorsion de données connu sous le nom de Diaxin Team a volé plus de 40 Go de données à l’hôpital Fitzgibbon de Marshall (MO) en 2022 en utilisant une attaque de type “pass-the-hash”. Les données volées comprenaient des informations sensibles sur les patients, telles que les noms, les numéros de sécurité sociale, les dates de naissance et les dossiers médicaux critiques. L’hôpital a confirmé que cette attaque avait touché plus de 112 000 patients.
#2. Attaque contre Electrobas et Copel : “Le ransomware des entreprises de services publics
En février 2021, les compagnies d’électricité brésiliennes Centrais Electricas Brasileiras (Electrobas) et Companhia Paranaense de Energia (Copel) ont déclaré avoir été la cible d’attaques par ransomware facilitées par l’attaque “pass-the-hash”.
Les acteurs malveillants ont compromis l’Active Directory (AD), en particulier le fichier NTDS.dit, en extrayant les hachages de mots de passe. Cela leur a permis de se déplacer latéralement dans la chaîne des autorisations de l’utilisateur jusqu’à ce qu’ils soient en mesure d’extraire des hachages qui avaient des autorisations suffisantes pour mener à bien des attaques par ransomware.
#3. Attaque des thèmes Windows : le “Malicious Windows Theme Pack” (pack de thèmes Windows malveillants)
En septembre 2020, un chercheur en sécurité a découvert que des cybercriminels distribuaient des packs de thèmes Windows 10 malveillants permettant des attaques de type “pass-the-hash”. Ces packs thématiques offrent des options de personnalisation pour les sons, les fonds d’écran, les couleurs, etc.
Chaque fois qu’un utilisateur clique sur le pack de thème Windows, il est dirigé vers une page ou une ressource qui requiert l’accès aux hachages de son mot de passe, ce qui permet aux pirates d’intercepter les identifiants de connexion de l’utilisateur.
Ces attaques PtH ont un impact significatif sur les organisations et les entreprises en raison des accès non autorisés et des identifiants de connexion compromis, ce qui entraîne une atteinte à la réputation, des violations de la conformité réglementaire, une perte de confiance de la part des clients et un avantage concurrentiel au sein de l’industrie. Il est donc primordial d’atténuer ces attaques dès le départ.
Meilleures pratiques pour prévenir les attaques de type “pass-the-hash
La prévention des attaques de type “pass-the-hash” nécessite une approche de sécurité à plusieurs niveaux qui englobe non seulement des mesures techniques, mais aussi la sensibilisation et l’éducation des utilisateurs. En mettant en œuvre ces meilleures pratiques, les organisations peuvent réduire de manière significative le risque d’attaques PtH et garantir l’intégrité et la sécurité de leurs systèmes et de leurs données.
Meilleures pratiques pour prévenir les attaques de type “Pass-the-Hash” pour les utilisateurs
Pour prévenir les attaques de type “pass-the-hash”, il est essentiel de mettre en œuvre les meilleures pratiques et mesures de sécurité. Voici quelques recommandations clés pour atténuer les attaques de type “pass-the-hash” pour les utilisateurs :
- Déconnectez-vous et redémarrez votre ordinateur régulièrement : Dès que vous avez terminé votre travail, la déconnexion de votre appareil est l’une des pratiques de sécurité les plus importantes pour empêcher d’autres personnes d’y accéder. Parallèlement, il est essentiel de redémarrer l’appareil de temps à autre pour effacer les hachages stockés, que les pirates peuvent facilement récupérer lors d’une attaque.
- Ne cliquez pas sur des liens suspects : Les attaques de type “Pass-the-hash” commencent souvent par d’autres types d’attaques par hameçonnage. Il est donc essentiel de se méfier des liens et des pièces jointes que vous recevez, en particulier lorsqu’ils proviennent d’expéditeurs ou d’adresses électroniques inconnus. Ces liens ou pièces jointes peuvent être à l’origine de logiciels malveillants qui infectent ou compromettent votre appareil si vous cliquez dessus ou si vous les téléchargez.
- Utilisez un pare-feu : Tous les principaux systèmes d’exploitation sont dotés de pare-feu de base intégrés qui filtrent le trafic réseau non autorisé. Cependant, cela n’est pas suffisant pour les environnements critiques, et le meilleur choix serait de mettre en place un pare-feu.
- Changez régulièrement de mot de passe : La rotation fréquente des mots de passe peut prévenir de manière significative le risque d’attaques PtH, car elle minimise la fenêtre ou la durée de validité d’un hachage de mot de passe. Un nouveau mot de passe nécessitera un nouveau hachage du mot de passe, qui expirera ou rendra le hachage de l’ancien mot de passe invalide.
- Activez un bloqueur de fenêtres pop-up : Les fenêtres pop-up peuvent souvent vous rediriger vers des sites web peu sûrs ou malveillants, souvent induits par des logiciels malveillants. Ces sites web induits par des logiciels malveillants favorisent les attaques PtH. En activant un bloqueur de fenêtres pop-up, vous limitez donc les risques de cliquer accidentellement sur des liens malveillants et dangereux.
- Maintenez votre système d’exploitation à jour : la mise à jour de votre système d’exploitation est une bonne pratique de sécurité qui aide à prévenir les risques et les vulnérabilités, car la dernière mise à jour du système d’exploitation est accompagnée des derniers correctifs de sécurité.
Bonnes pratiques de prévention des attaques de type “Pass-the-Hash” pour les administrateurs système
La prévention des attaques PtH est essentielle au maintien de la sécurité de votre système. Voici quelques bonnes pratiques que les administrateurs système devraient suivre pour réduire le risque d’attaques PtH.
- Désactivez les hachages LM (Lan Management) : Windows stocke les mots de passe en utilisant les hachages Windows NT et LM. Comme le hachage LM est plus faible que le hachage Windows NT, selon Windows, et qu’il est vulnérable aux attaques par force brute, il est essentiel de le désactiver pour éviter les risques d’attaques PtH.
- Activez Defender Windows Credential Guard : Windows Defender Credential Guard est un outil de sécurité fourni dans Windows 10 et supérieur pour atténuer les attaques PtH.
- Évitez d’utiliser le protocole de bureau à distance (RDP) pour gérer les postes de travail des utilisateurs : Plusieurs applications RDP conservent des copies de vos hachages de mots de passe, ce qui élargit la surface des attaques PtH. Par conséquent, l’utilisation d’un outil de console qui vous permet de vous connecter à des ordinateurs distants est beaucoup plus sûre que l’utilisation de RDP.
- Limitez le nombre de comptes disposant de droits d’administration : Les acteurs malveillants ont besoin de privilèges administratifs pour extraire les hachages du LSASS (Local Security Authority Subsystem Service). Il est donc essentiel de limiter le nombre de comptes d’administrateur pour empêcher les cybercriminels de mener des attaques PtH sur le réseau de votre entreprise.
- Utilisez Microsoft Local Administrator Password Solution (LAPS) : LAPS est un outil de sécurité Windows qui, lorsqu’il est activé, garantit que le compte administrateur local crée et utilise un mot de passe complexe différent pour chaque nouvel ordinateur auquel il se connecte. Cela limite les risques et les possibilités de déplacement latéral pour un cyber-attaquant, garantissant ainsi la sécurité contre les attaques PtH.
- Automatisez les changements de mot de passe pour les administrateurs système : L’automatisation des changements fréquents de mots de passe pour les identifiants des administrateurs peut rendre les attaques PtH beaucoup plus difficiles à réaliser pour les cyberattaquants, limitant leur fenêtre de temps pour causer des dommages potentiels graves s’ils étaient en mesure d’extraire le hachage du mot de passe de l’administrateur.
Stratégies d’atténuation efficace des attaques de type “Pass-the-Hash
Pour protéger votre organisation contre les attaques PtH, il est essentiel de mettre en œuvre des stratégies d’atténuation efficaces. Voici quelques stratégies à envisager :
#1. Planification de la réponse aux incidents
Il est essentiel de disposer d’un plan de réponse aux incidents en cas d’attaques PtH, qui comprend des procédures pour identifier l’attaque, détecter et préserver les preuves, notifier les autorités supérieures et les parties prenantes, et restaurer les données et les systèmes. Ainsi, la mise en place d’une équipe de réponse aux incidents désignée et formée et d’un système fiable de sauvegarde et de récupération des données contribuera grandement à minimiser l’impact des attaques PtH et à garantir la sécurité de l’entreprise.
#2. Évaluations et audits de sécurité réguliers
Des audits de sécurité réguliers aident les entreprises et les organisations à identifier les failles et les vulnérabilités qui ouvrent la voie aux attaques PtH. Ces évaluations et audits peuvent consister à tester les logiciels et les microprogrammes obsolètes, les mots de passe faibles et les applications et systèmes non sécurisés.
#3. Formation et sensibilisation
La formation à la sensibilisation à la sécurité est une étape essentielle pour chaque entreprise et organisation afin d’atténuer les attaques de type “pass-the-hash” et d’autres attaques de cybersécurité. Cette formation permet d’informer les utilisateurs et les employés sur les mesures préventives, les pratiques de sécurité des mots de passe, l’identification des activités suspectes, la mise en œuvre de politiques de mots de passe forts et les pratiques de cybersécurité pour gérer efficacement les risques tels que les attaques PtH.
#4. Gestion des accès privilégiés (PAM)
Lessolutions de gestion des accès privilég iés permettent de limiter l’exposition aux attaques de type “pass the hash” en contrôlant et en surveillant l’accès aux comptes privilégiés. En mettant en œuvre des contrôles d’accès granulaires, les entreprises peuvent s’assurer que seuls les utilisateurs autorisés ont accès aux systèmes et aux informations critiques.
Sécuriser votre réseau : Prévenir les attaques de type “Pass-the-Hash
Les attaques de type “pass-the-hash” peuvent être difficiles à détecter ou à tracer par rapport à d’autres types de cyberattaques, telles que le phishing et les ransomwares. Ces attaques impliquent l’utilisation d’un hachage de mot de passe légitime pour obtenir un accès non autorisé à un réseau d’entreprise et potentiellement causer des dommages.
Il est important que les organisations et les autorités chargées de la sécurité prennent les attaques PtH au sérieux et consacrent du temps et des efforts à la compréhension de leurs mécanismes et de leurs conséquences potentielles, ainsi qu’à la mise en œuvre de mesures de sécurité efficaces pour prévenir et atténuer ces attaques. Mettez donc en œuvre les pratiques de sécurité mentionnées ci-dessus pour vous protéger contre les attaques PtH et renforcer la sécurité de votre organisation.