Cómo defenderse de un ataque "Overpass the Hash Attack

En el panorama en constante evolución de las ciberamenazas, el ataque Overpass the Hash es un potente vector. Aprovechando el protocolo de autenticación NTLM, este ataque permite a los adversarios eludir la necesidad de contraseñas en texto plano. En su lugar, un ataque Overpass the Hash emplea el hash de un usuario para autenticar y potencialmente escalar privilegios.

A medida que las organizaciones se enfrentan a los retos de proteger sus infraestructuras de Active Directory, comprender y contrarrestar este tipo de ataques se ha convertido en un objetivo fundamental para los expertos en seguridad informática y los administradores.

Lectura relacionada: Las mejores estrategias de endurecimiento de Active Directory

¿Qué es un ataque Overpass the Hash?

El ataque Overpass the Hash es una técnica de post-explotación en la que un atacante utiliza un hash NTLM capturado para autenticarse en un servicio o servidor dentro de un dominio Active Directory. A diferencia de los ataques Pass the Hash tradicionales, que continúan dentro de la misma sesión de autenticación, los ataques Overpass the Hash implican el uso del hash robado para crear una sesión totalmente autenticada en la que el atacante puede obtener tickets Kerberos nuevos. Esta sutil pero poderosa distinción permite al atacante acceder a los recursos como si tuviera la contraseña del usuario, "pasando por encima" de la necesidad de adquirirla por otros medios.

¿Cómo funciona un ataque Overpass the Hash?

El ataque Overpass the Hash comienza cuando un atacante obtiene el hash NTLM de un usuario. Este hash representa la contraseña del usuario, procesada a través del algoritmo hash NTLM. Los atacantes normalmente obtienen el hash explotando vulnerabilidades en la máquina de un usuario o a través de tácticas de ingeniería social.

Después de adquirir el hash de NTLM, el atacante utiliza una herramienta como Mimikatz para inyectar el hash en su propio contexto de seguridad. Este paso permite al atacante utilizar las credenciales robadas para invocar la API de Windows. Este paso es crítico. Intentar acceder a recursos utilizando la máquina comprometida podría disparar alertas. En su lugar, el atacante utiliza el hash para autenticarse desde su propio dispositivo o desde una máquina controlada dentro de la red.

A continuación, el atacante interactúa con el controlador de dominio (DC) de Active Directory, presentando el hash robado durante el proceso de autenticación NTLM. Aquí, el atacante utiliza el hash de forma similar a una contraseña. El DC, incapaz de distinguir el hash de un inicio de sesión legítimo, autentica la sesión y emite un Ticket Granting Ticket (TGT) de Kerberos. Este TGT, cifrado con las claves secretas de la cuenta krbtgt del dominio, sólo puede ser descifrado por el DC; el atacante no necesita descifrar el TGT.

En la fase final, el atacante utiliza el TGT obtenido para solicitar tickets de servicio al DC. Estos tickets conceden al atacante acceso a varios servicios dentro del dominio. Este proceso, a menudo denominado mensaje Kerberos TGS-REQ, forma parte del protocolo Kerberos estándar utilizado para acceder a los recursos de un dominio Active Directory. El DC, creyendo que el TGT se ha obtenido legítimamente, devuelve tickets de servicio que el atacante puede utilizar para acceder a recursos, autenticarse en otros equipos o realizar acciones en la red, todo ello haciéndose pasar por el usuario comprometido.

Lo que resulta particularmente insidioso del ataque Overpass the Hash es la capacidad de solicitar tickets de servicio para servicios o máquinas específicos dentro del dominio. De este modo, el atacante puede atacar activos o repositorios de datos de gran valor. Los tickets de servicio pueden tener una vida útil relativamente larga y pueden renovarse, proporcionando al atacante un mecanismo persistente para acceder a los recursos hasta que se cambie la contraseña del usuario o se mitigue el ataque.

¿Qué riesgos conlleva un ataque Overpass the Hash?

El principal riesgo de un ataque Overpass the Hash reside en su capacidad para proporcionar a los atacantes acceso no autorizado a recursos de red y datos sensibles. El ataque también facilita el movimiento lateral dentro de la red y puede conducir a la escalada de privilegios si la cuenta comprometida tiene derechos administrativos. Dado que el ataque aprovecha mecanismos de autenticación legítimos, puede ser difícil de detectar y puede proporcionar acceso persistente a los atacantes.

Al igual que ocurre con otros ataques, los entornos que emplean NTLM para la autenticación son susceptibles de sufrir ataques Overpass-the-Hash. Pero pregunte a 50 administradores de Active Directory si han eliminado la autenticación NTLM en su bosque de Active Directory, y puede que alguno levante la mano. El uso de NTLM persiste por varias razones:

• Compatibilidad con versiones anteriores
• Soporte de aplicaciones heredadas
• Falta de concienciación o de recursos para pasar a protocolos más seguros.

Por ejemplo, las aplicaciones heredadas que no se han actualizado para utilizar métodos de autenticación modernos pueden requerir NTLM. Algunos dispositivos de almacenamiento conectados a la red o versiones antiguas de servicios basados en Windows utilizan NTLM por defecto. Y algunas configuraciones de Microsoft Internet Information Services (IIS), cuando se establecen para utilizar la autenticación de Windows, utilizan NTLM si el protocolo Kerberos, más seguro, no está configurado correctamente o si los clientes no lo admiten. Las versiones más antiguas de SQL Server y otros servicios de bases de datos pueden configurarse para autenticar a los usuarios con NTLM, especialmente cuando se conectan desde sistemas no unidos a un dominio o a través de un entorno de grupo de trabajo. Incluso el uso de la dirección IP de un recurso en lugar de su nombre de host puede hacer que el sistema utilice NTLM por defecto para la autenticación.

Además, las aplicaciones de terceros -especialmente las diseñadas para la compatibilidad entre plataformas- pueden utilizar NTLM cuando interactúan con sistemas Windows. Este suele ser el caso de varias herramientas de colaboración y gestión de documentos que necesitan integrarse con el uso compartido de archivos de Windows o con aplicaciones web antiguas. En algunos casos, los dispositivos de red como concentradores VPN o puertas de enlace, que necesitan autenticar usuarios en Active Directory, pueden utilizar NTLM si no están totalmente integrados con Kerberos.

Los productos, dispositivos, servicios o aplicaciones que se basan en NTLM no hacen intrínsecamente vulnerable un entorno a los ataques Overpass the Hash. Sin embargo, aumentan la superficie de ataque. La combinación del uso continuado de NTLM y unos controles de seguridad insuficientes crea la vulnerabilidad que aprovechan los ataques Overpass the Hash. La transición de NTLM a Kerberos o el empleo de medidas de seguridad adicionales (como la firma SMB), puede mitigar significativamente el riesgo.

¿Cómo detectar un ataque Overpass the Hash?

La detección de un ataque Overpass the Hash implica la supervisión de patrones inusuales de autenticación y solicitudes de tickets en el entorno de Active Directory. Los profesionales de la seguridad deben configurar el registro y la alerta de anomalías, incluyendo:

• Tiempos de inicio de sesión inusuales
• Conexiones desde lugares atípicos
• Solicitudes de tickets de servicio que no siguen el comportamiento normal del usuario

Los sistemas avanzados de gestión de eventos e información de seguridad (SIEM) pueden ayudar a correlacionar eventos e identificar posibles ataques. Sin embargo, algunos ataques muy dañinos están diseñados para eludir la supervisión basada en eventos y registros.

Las organizaciones también deben vigilar el uso de autenticación NTLM inesperada; los entornos modernos a menudo favorecen Kerberos, haciendo que el uso de NTLM destaque. Este tipo de ataque es uno en el que el análisis del comportamiento del usuario realmente marca la diferencia.

¿Cómo mitigar un ataque Overpass the Hash?

Mitigar un ataque Overpass the Hash requiere un enfoque multifacético.

• Minimice el uso de la autenticación NTLM y utilice Kerberos en su lugar, siempre que sea posible.
• Aplique políticas de contraseñas seguras y evite el uso de las mismas contraseñas en diferentes cuentas para reducir el impacto del robo de hash.
• Segmente la red para evitar movimientos laterales.
• Implemente políticas de bloqueo de cuentas para disuadir los intentos de fuerza bruta.
• Habilite Credential Guard en Windows 10 y Windows Server 2016 y versiones posteriores para ayudar a evitar la extracción de contraseñas de texto sin formato y hashes NTLM de la memoria.

Además, los administradores de Active Directory deben aplicar medidas de acción para protegerse contra los ataques Overpass the Hash:

• Desactive la autenticación NTLM en los sistemas en los que no sea necesaria e imponga el uso de Kerberos.
• Asegúrese de que la solución de contraseña de administrador local (LAPS) está implementada para gestionar contraseñas de administrador local únicas.
• Configure la directiva de grupo para impedir el almacenamiento de hashes NTLM y restringir el tráfico NTLM.
• Emplear estrategias avanzadas de auditoría y supervisión para detectar el uso anómalo de NTLM y la presencia de herramientas Overpass the Hash.
• Formar a los usuarios para que reconozcan los intentos de phishing y aseguren sus credenciales.
• Mantenga los sistemas parcheados y actualizados para mitigar las vulnerabilidades que pueden conducir al robo de credenciales.

Defiéndase contra los ataques que suplantan la identidad de los usuarios

El ataque Overpass the Hash constituye una importante amenaza para los entornos Active Directory, ya que aprovecha el protocolo NTLM para hacerse pasar por usuarios legítimos. Aprovechando los valores hash robados, los atacantes pueden obtener acceso no autorizado, comprometiendo la integridad y confidencialidad de los activos de la organización. La vigilancia y las medidas de defensa proactivas son esenciales para mitigar los riesgos asociados a este vector de ataque.

A medida que los adversarios cibernéticos continúan evolucionando sus tácticas, el endurecimiento de su entorno de Active Directory contra ataques como Overpass the Hash se ha convertido en un imperativo. Los administradores pueden frustrar estos ataques, protegiendo sus sistemas de accesos no autorizados y manteniendo la fiabilidad de sus mecanismos de autenticación, a través de medidas proactivas, incluyendo:

• Planificación estratégica
• Protocolos sólidos de seguridad de la identidad
• Supervisión continua de Active Directory

Proteger los entornos híbridos de Active Directory es un proceso continuo. Adelantarse a amenazas como Overpass the Hash requiere un compromiso con las mejores prácticas de seguridad y una cultura de concienciación en toda la organización.