Microsoft geeft advies tegen hash-dieven
Aanvallers die in een organisatie een computer weten te over te nemen proberen hierna andere computers te kapen. Een favoriete techniek om dit te doen is 'Pass-the-Hash' (PtH). Een PtH-aanval lijkt erg op aanvallen waarbij wachtwoorden worden gestolen, alleen worden dit keer geen wachtwoorden buitgemaakt, maar de hash-waarde van het wachtwoord.
Met de hash-waarde kan de aanvaller op andere machines en domeinen inloggen. Om deze techniek te gebruiken moet een aanvaller eerst lokale administratorrechten op een computer in de organisatie hebben. Vervolgens is het mogelijk om wachtwoord-hashes uit het geheugen of de harde schijf te kopiëren.
Via de PtH-techniek is het vervolgens mogelijk om toegang tot verbonden computers te krijgen, waaronder de domain controller en andere servers die gevoelige informatie opslaan.
Het mitigeren en bestrijden van PtH-aanvallen vormen dan ook belangrijke beveiligingsmaatregelen, aldus Microsoft. "Deze aanvallen komen inmiddels veel voor en zijn een zorg voor veel van onze klanten", zo laat de softwaregigant in een nieuwe whitepaper weten.
Advies
In totaal worden drie basisadviezen gegeven, aangevuld met een reeks aanvullende aanbevelingen. Als eerste moeten beheerders belangrijke domain accounts beperken en beschermen. "Voorkom de mogelijkheid van systeembeheerders om per ongeluk belangrijke inloggegevens aan computers met een hoger risico bloot te stellen."
Als tweede moeten systeembeheerders lokale accounts met beheerdersrechten beperken en beschermen. Het derde en laatste advies is het beperken van inkomend verkeer via de Windows Firewall. "Voorkom dat aanvallers lateraal vanaf een gehackt workstation bewegen door inkomende verbindingen op alle workstations met de lokale Windows Firewall te blokkeren."
Mocht je zelf willen testen dan heeft Metasploit daar een module voor.
Lokale administratorrechten moet geen probleem zijn, testen doe je op je eigen (werk)netwerk.
IRL heb je natuulijk al een groot probleem wanneer een aanvaller lokale administratorrechten heeft/verkrijgt. PtH is een redelijk snelle manier om toegang tot de rest van het netwerk te krijgen maar er zijn vaak meerdere wegen die naar Rome leiden. Goed beheer van alles wat in het netwerk hangt zou de eerste aanval al moeten stoppen of anders beletten zich verder te verspreiden. Wanneer er een server o.i.d. met "geheime data" in het netwerk hangt kan ik me niet voorstellen dat er geen degelijke firewall aanwezig is.
Dat is helaas niet het hele verhaal. Bij veel bedrijven is het beheerder wachtwoord op alle werkplekken (en soms zelfs op de servers) aan elkaar gelijk, ook bij goed beheerde netwerken. Indien je kwaad wilt, is het achterhalen van de hash van dat wachtwoord niet zo'n enorm probleem. Een boot CD is veelal voldoende. Met command line tools als whosthere.exe, iam.exe en msvctl.exe kun je vervolgens heel wat schade aanrichten. Toegegeven, het is een aanval van binnenuit en daar zijn weinig zaken tegen opgewassen, zeker in omgevingen waar het volwassenheidsniveau te wensen overlaat. Technieken die een passsing the hash aanval kunnen detecteren, zoals security monitoring, veelal zijn (a) niet, (b) niet goed of (c) zodanig geimplementeerd dat de aanval onder de radar blijft. De voornaamste poort die bovenstaande tools nodig hebben is volgens mij 445. De meeste firewalls hebben die poort open staan (voor zover er op werkplekken al een firewall actief is die volledig is dichtgetimmerd), dus ook bij degelijke firewalls is het een verloren zaak.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.