Передайте хэш

В области компьютерной безопасности передача хэша — это метод взлома, который позволяет злоумышленнику пройти аутентификацию на удаленном сервере или службе, используя базовый NTLM или LanMan хэш пароля пользователя, вместо того, чтобы требовать связанный пароль в виде открытого текста , как это обычно бывает. Он заменяет необходимость кражи открытого текстового пароля для получения доступа кражей хеша.

Атака использует уязвимость реализации протокола аутентификации, при которой хэши паролей остаются статическими от сеанса к сеансу до следующего изменения пароля.

Этот метод можно применить к любому серверу или службе, принимающей аутентификацию LM или NTLM, независимо от того, работает ли он на компьютере с Windows, Unix или любой другой операционной системой.

Описание

В системах или службах, использующих аутентификацию NTLM, пароли пользователей никогда не передаются в виде открытого текста по сети . Вместо этого они предоставляются запрашивающей системе, например контроллеру домена , в виде хеша в ответ на схему аутентификации «запрос-ответ» . ^[1]

Собственные приложения Windows запрашивают у пользователей пароль в виде открытого текста, а затем вызывают API, например LsaLogonUser. ^[2] которые преобразуют этот пароль в одно или два хэш-значения (хеши LM или NT), а затем отправляют его на удаленный сервер во время аутентификации NTLM. ^{[Примечания 1]}^[3]

Если у злоумышленника есть хэши пароля пользователя, ему не нужен пароль в открытом виде; они могут просто использовать хеш для аутентификации на сервере и выдавать себя за этого пользователя. ^[4]^[5]^[6]^{[ постоянная мертвая ссылка ]} Другими словами, с точки зрения злоумышленника, хеши функционально эквивалентны исходным паролям, на основе которых они были сгенерированы.

История

Техника передачи хэша была первоначально опубликована Полом Эштоном в 1997 году. ^[6] и состоял из модифицированного клиента Samba SMB , который принимал хэши паролей пользователей вместо паролей в виде открытого текста. Более поздние версии Samba и другие сторонние реализации протоколов SMB и NTLM также включали эту функциональность.

Эта реализация метода была основана на стеке SMB, созданном третьей стороной (например, Samba и другими), и по этой причине страдала от ряда ограничений с точки зрения хакера, включая ограниченную или частичную функциональность: Протокол SMB имеет продолжает развиваться на протяжении многих лет, это означает, что третьим сторонам, создающим свою собственную реализацию протокола SMB, необходимо вносить изменения и дополнения в протокол после того, как они будут введены более новыми версиями Windows и SMB (исторически путем обратного проектирования, что очень сложно и отнимает много времени). Это означает, что даже после успешного выполнения аутентификации NTLM с использованием метода передачи хэша такие инструменты, как SMB-клиент Samba, могут не реализовать функциональные возможности, которые может захотеть использовать злоумышленник. Это означало, что было сложно атаковать программы Windows, использующие DCOM или RPC.

Кроме того, поскольку злоумышленникам было разрешено использовать сторонние клиенты при проведении атак, было невозможно использовать, среди прочего, встроенные приложения Windows, такие как Net.exe или инструмент «Пользователи и компьютеры Active Directory» , поскольку они просили злоумышленника или Пользователь должен ввести пароль в открытом виде для аутентификации, а не соответствующее хеш-значение пароля.

В 2008 году Эрнан Очоа опубликовал инструмент под названием «Pass-the-Hash Toolkit». ^[7] это позволило выполнить «передачу хэша» в Windows. имя пользователя, имя домена и хэши паролей, кэшированные в памяти локальным органом безопасности, Это позволяло изменять во время выполнения после аутентификации пользователя — это позволяло «передавать хэш» с помощью стандартных приложений Windows и тем самым подрывать фундаментальные механизмы аутентификации, встроенные в операционную систему.

Инструмент также представил новую технику, которая позволяла сбрасывать хэши паролей, кэшированные в памяти процесса lsass.exe (а не в постоянном хранилище на диске), что быстро стало широко использоваться тестировщиками на проникновение (и злоумышленниками). Этот метод сбора хэша является более продвинутым, чем ранее использовавшиеся методы (например, сброс локальной базы данных Security Accounts Manager (SAM) с помощью pwdump и подобных инструментов), главным образом потому, что хеш-значения, хранящиеся в памяти, могут включать учетные данные пользователей домена (и администраторов домена), которые вошли в систему. в машину. Например, также можно сбросить хэши аутентифицированных пользователей домена, которые не хранятся постоянно в локальном SAM. Это позволяет тестировщику на проникновение (или злоумышленнику) скомпрометировать весь домен Windows после взлома одного компьютера, который был членом этого домена. Более того, атака может быть реализована мгновенно и без необходимости использования дорогостоящих вычислительных ресурсов для проведения атаки методом перебора.

Впоследствии этот набор инструментов был заменен «Редактором учетных данных Windows», который расширяет функциональность исходного инструмента и поддержку операционной системы. ^[8]^[9] Некоторые производители антивирусов классифицируют этот набор инструментов как вредоносное ПО. ^[10]^[11]

Сбор хеша

Прежде чем злоумышленник сможет провести атаку с передачей хеша, он должен получить хэши паролей целевых учетных записей пользователей. С этой целью тестеры на проникновение и злоумышленники могут собирать хэши паролей, используя ряд различных методов:

Кэшированные хэши или учетные данные пользователей, которые ранее входили в систему (например, с консоли или через RDP), могут быть прочитаны из SAM любым человеком, имеющим права администратора. По умолчанию кэширование хэшей или учетных данных для использования в автономном режиме может быть отключено администраторами, поэтому этот метод может не всегда работать, если машина достаточно защищена.
Сброс базы данных учетных записей локального пользователя ( SAM ). Эта база данных содержит только учетные записи пользователей, локальные для конкретной машины, которая была скомпрометирована. Например, в доменной среде база данных SAM компьютера не будет содержать пользователей домена, а только локальных пользователей этого компьютера, которые, скорее всего, не будут очень полезны для аутентификации в других службах домена. Однако если одни и те же пароли локальных учетных записей администратора используются в нескольких системах, злоумышленник может получить удаленный доступ к этим системам, используя хэши локальных учетных записей пользователей.
Перехват диалогов запрос-ответ LM и NTLM между клиентом и сервером, а затем перебор захваченных зашифрованных хэшей (поскольку хэши, полученные таким способом, зашифрованы, необходимо выполнить атаку методом перебора для получения реальных хэшей).
Сброс учетных данных прошедших проверку пользователей, хранящихся Windows в памяти процесса lsass.exe. Учетные данные, сброшенные таким образом, могут включать учетные данные пользователей или администраторов домена, например тех, кто вошли в систему через RDP . Таким образом, этот метод можно использовать для получения учетных данных учетных записей пользователей, которые не являются локальными по отношению к скомпрометированному компьютеру, а происходят из домена безопасности, членом которого является компьютер.

Смягчения

Любая система, использующая аутентификацию LM или NTLM в сочетании с любым протоколом связи (SMB, FTP, RPC, HTTP и т. д.), подвергается риску этой атаки. ^[1] От этого эксплойта очень сложно защититься из-за возможных эксплойтов в Windows и приложений, работающих в Windows, которые могут быть использованы злоумышленником для повышения своих привилегий, а затем сбора хэша, что облегчает атаку. Кроме того, для того, чтобы злоумышленник мог проникнуть внутрь, может потребоваться, чтобы только один компьютер в домене Windows был неправильно настроен или отсутствовало исправление безопасности. Кроме того, доступен широкий спектр инструментов тестирования на проникновение для автоматизации процесса обнаружения уязвимости. на машине.

Единой защиты от этой техники не существует, поэтому глубокоэшелонированной защиты. применяются стандартные методы ^[12] – например, использование межсетевых экранов , систем предотвращения вторжений , аутентификации 802.1x , IPsec , антивирусного программного обеспечения , сокращение количества людей с повышенными привилегиями, ^[13] упреждающее исправление безопасности ^[14] и т. д. Запретить Windows сохранять кэшированные учетные данные может ограничить злоумышленников получением хэшей из памяти, что обычно означает, что целевая учетная запись должна войти в систему при выполнении атаки. ^[15] Разрешение администраторам домена входить в системы, которые могут быть скомпрометированы или ненадежны, создаст сценарий, в котором хэши администраторов станут целями злоумышленников; Таким образом, ограничение входа администратора домена на доверенные контроллеры домена может ограничить возможности злоумышленника. ^[12] Принцип наименьших привилегий предполагает, что следует использовать подход наименьшего доступа пользователей (LUA), при котором пользователи не должны использовать учетные записи с большим количеством привилегий, чем необходимо для выполнения поставленной задачи. ^[12] Настройка систем на отказ от использования LM или NTLM также может повысить безопасность, но новые эксплойты могут пересылать билеты Kerberos аналогичным образом. ^[16] Ограничение объема привилегий отладки в системе может помешать некоторым атакам, которые внедряют код или крадут хэши из памяти конфиденциальных процессов. ^[12]

Ограниченный режим администратора — это новая функция операционной системы Windows, представленная в 2014 году в бюллетене по безопасности 2871997 и предназначенная для снижения эффективности атаки. ^[17]

См. также

Примечания

^ Обратите внимание, что Windows может использовать проверку подлинности Kerberos по умолчанию.

Ссылки

^ Jump up to: ^а ^б Крис Хаммел (12 октября 2009 г.). «Зачем взламывать, если можно передать хеш?» . Институт САНС. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ «ЛсаЛогонУсер» . Майкрософт . 7 сентября 2011 года . Проверено 25 октября 2011 г.
^ «Как работает интерактивный вход в систему» . Майкрософт . 22 января 2009 года . Проверено 25 октября 2011 г.
^ «Что такое атака Pass-the-Hash (PtH)?» . За пределами доверия . 04.08.2023. Архивировано из оригинала 15 мая 2024 г. Проверено 23 июня 2024 г.
^ Ленартс-Бергманс, Барт (21 февраля 2024 г.). «Что такое атака Pass-the-Hash?» . www.crowdstrike.com . Архивировано из оригинала 7 апреля 2024 г. Проверено 23 июня 2024 г.
^ Jump up to: ^а ^б Дэниел Стирниманн (9 августа 2010 г.). «Атака Windows: получите права администратора предприятия за 5 минут» (PDF) . Компас Секьюрити АГ . Проверено 10 октября 2010 г.
^ Эрнан Очоа (2 июля 2008 г.). «Что такое набор инструментов Pass-The-Hash?» . Проверено 20 октября 2011 г.
^ Эрнан Очоа (2011). Внутреннее устройство WCE . УкорененныйCON.
^ Эрнан Очоа (2011). «Часто задаваемые вопросы по редактору учетных данных Windows (WCE)» Amplia Security . Проверено 25 октября 2011 г.
^ «SecurityRisk.WinCredEd» . Симантек . 21 марта 2011. Архивировано из оригинала 13 апреля 2012 года . Проверено 25 октября 2011 г.
^ «HackTool:Win32/Wincred.A» . Майкрософт . 1 октября 2011 года . Проверено 25 октября 2011 г.
^ Jump up to: ^а ^б ^с ^д Башар Эвайда (21 января 2010 г.). «Атаки Pass-the-hash: инструменты и меры по смягчению последствий» . Институт САНС . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ Роджер Граймс (26 июля 2011 г.). «Остановите атаки с передачей хэша до их начала» . Инфомир . Проверено 25 октября 2011 г.
^ Роб Краус; Брайан Барбер; Майк Боркин; Наоми Альперн (2010). Семь самых смертоносных атак Microsoft . Сингресс. стр. 12–14. ISBN 978-1-59749-551-6 .
^ «Предотвращение атак Pass-the-Hash и атак с использованием кэшированных учетных данных» . Программа защиты компьютеров Berkley Lab . Проверено 20 октября 2011 г.
^ «Уязвимость обхода безопасности воспроизведения повтора Kerberos в Microsoft Windows» . Securityfocus.com. 13 августа 2010 года. Архивировано из оригинала 12 марта 2016 года . Проверено 20 октября 2010 г.
^ «Рекомендации Microsoft по безопасности 2871997» . 14 октября 2022 г.

Внешние ссылки

Microsoft передает руководство по уменьшению хеширования
Амплия Секьюрити
SMBShell
Патрик Джанглс и др.: Смягчение атак Pass-the-Hash (PtH) и других методов кражи учетных данных , Microsoft Corp., 2012 г., получено 3 февраля 2015 г.
Неосведомленная бумага для взлома
Снижение эффективности Pass-the-Hash (NSA)
CWE-836: использование хэша пароля вместо пароля для аутентификации.

[3] Обратите внимание, что Windows может использовать проверку подлинности Kerberos по умолчанию.

[Hummel-1] Jump up to: ^а ^б Крис Хаммел (12 октября 2009 г.). «Зачем взламывать, если можно передать хеш?» . Институт САНС. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[2] «ЛсаЛогонУсер» . Майкрософт . 7 сентября 2011 года . Проверено 25 октября 2011 г.

[4] «Как работает интерактивный вход в систему» . Майкрософт . 22 января 2009 года . Проверено 25 октября 2011 г.

[n580-5] «Что такое атака Pass-the-Hash (PtH)?» . За пределами доверия . 04.08.2023. Архивировано из оригинала 15 мая 2024 г. Проверено 23 июня 2024 г.

[s220-6] Ленартс-Бергманс, Барт (21 февраля 2024 г.). «Что такое атака Pass-the-Hash?» . www.crowdstrike.com . Архивировано из оригинала 7 апреля 2024 г. Проверено 23 июня 2024 г.

[Compass-7] Jump up to: ^а ^б Дэниел Стирниманн (9 августа 2010 г.). «Атака Windows: получите права администратора предприятия за 5 минут» (PDF) . Компас Секьюрити АГ . Проверено 10 октября 2010 г.

[8] Эрнан Очоа (2 июля 2008 г.). «Что такое набор инструментов Pass-The-Hash?» . Проверено 20 октября 2011 г.

[9] Эрнан Очоа (2011). Внутреннее устройство WCE . УкорененныйCON.

[10] Эрнан Очоа (2011). «Часто задаваемые вопросы по редактору учетных данных Windows (WCE)» Amplia Security . Проверено 25 октября 2011 г.

[11] «SecurityRisk.WinCredEd» . Симантек . 21 марта 2011. Архивировано из оригинала 13 апреля 2012 года . Проверено 25 октября 2011 г.

[12] «HackTool:Win32/Wincred.A» . Майкрософт . 1 октября 2011 года . Проверено 25 октября 2011 г.

[Ewaida-13] Jump up to: ^а ^б ^с ^д Башар Эвайда (21 января 2010 г.). «Атаки Pass-the-hash: инструменты и меры по смягчению последствий» . Институт САНС . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[14] Роджер Граймс (26 июля 2011 г.). «Остановите атаки с передачей хэша до их начала» . Инфомир . Проверено 25 октября 2011 г.

[15] Роб Краус; Брайан Барбер; Майк Боркин; Наоми Альперн (2010). Семь самых смертоносных атак Microsoft . Сингресс. стр. 12–14. ISBN 978-1-59749-551-6 .

[16] «Предотвращение атак Pass-the-Hash и атак с использованием кэшированных учетных данных» . Программа защиты компьютеров Berkley Lab . Проверено 20 октября 2011 г.

[17] «Уязвимость обхода безопасности воспроизведения повтора Kerberos в Microsoft Windows» . Securityfocus.com. 13 августа 2010 года. Архивировано из оригинала 12 марта 2016 года . Проверено 20 октября 2010 г.

[18] «Рекомендации Microsoft по безопасности 2871997» . 14 октября 2022 г.

[1]

[2]

[Примечания 1]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]