Daniel Petri

No cenário em constante evolução das ciberameaças, o ataque Overpass the Hash é um vetor potente. Tirando partido do protocolo de autenticação NTLM, este ataque permite aos adversários contornar a necessidade de palavras-passe em texto simples. Em vez disso, um ataque Overpass the Hash utiliza o hash de um utilizador para autenticar e potencialmente aumentar os privilégios.

À medida que as organizações enfrentam os desafios de proteger as suas infra-estruturas do Active Directory, a compreensão e o combate a estes tipos de ataques tornaram-se um foco crítico para os especialistas e administradores de segurança de TI.

Leitura relacionada: Principais estratégias de fortalecimento do Active Directory

O que é um ataque Overpass the Hash?

O ataque Overpass the Hash é uma técnica de pós-exploração na qual um atacante usa um hash NTLM capturado para autenticar um serviço ou servidor dentro de um domínio Active Directory. Ao contrário dos ataques tradicionais Pass the Hash, que continuam dentro da mesma sessão de autenticação, os ataques Overpass the Hash envolvem a utilização do hash roubado para criar uma sessão totalmente autenticada na qual o atacante pode obter novos bilhetes Kerberos. Esta distinção subtil mas poderosa permite ao atacante aceder a recursos como se tivesse a palavra-passe do utilizador, "ultrapassando" efetivamente a necessidade de a adquirir por outros meios.

Como é que um ataque Overpass the Hash funciona?

O ataque Overpass the Hash começa com um atacante a adquirir o hash NTLM de um utilizador. Este hash representa a palavra-passe do utilizador, processada através do algoritmo de hashing NTLM. Normalmente, os atacantes obtêm o hash explorando vulnerabilidades na máquina do utilizador ou através de tácticas de engenharia social.

Depois de adquirir o hash NTLM, o atacante utiliza uma ferramenta como o Mimikatz para injetar o hash no seu próprio contexto de segurança. Este passo permite ao atacante utilizar as credenciais roubadas para invocar a API do Windows. Este passo é crítico. A tentativa de aceder a recursos utilizando a máquina comprometida pode desencadear alertas. Em vez disso, o atacante usa o hash para se autenticar a partir do seu próprio dispositivo ou de uma máquina controlada dentro da rede.

Em seguida, o atacante interage com o controlador de domínio (DC) do Active Directory, apresentando o hash roubado durante o processo de autenticação NTLM. Aqui, o atacante utiliza o hash de uma forma semelhante a uma palavra-passe. O DC, incapaz de distinguir o hash de um logon legítimo, autentica a sessão e emite um Kerberos Ticket Granting Ticket (TGT). Este TGT, encriptado com as chaves secretas da conta krbtgt do domínio, só pode ser desencriptado pelo DC; o atacante não precisa de desencriptar o TGT.

Na fase final, o atacante utiliza o TGT obtido para solicitar bilhetes de serviço ao DC. Estes bilhetes concedem ao atacante acesso a vários serviços dentro do domínio. Este processo, muitas vezes referido como a mensagem Kerberos TGS-REQ, faz parte do protocolo Kerberos padrão utilizado para aceder a recursos num domínio do Active Directory. O DC, acreditando que o TGT foi legitimamente obtido, devolve bilhetes de serviço que o atacante pode utilizar para aceder a recursos, autenticar-se noutras máquinas ou executar acções na rede, tudo isto mascarado como o utilizador comprometido.

O que é particularmente insidioso no ataque Overpass the Hash é a capacidade de solicitar bilhetes de serviço para serviços ou máquinas específicos dentro do domínio. O ataque permite assim ao atacante visar activos de elevado valor ou repositórios de dados. Os bilhetes de serviço podem ter um tempo de vida relativamente longo e podem ser renovados, fornecendo ao atacante um mecanismo persistente para aceder a recursos até que a palavra-passe do utilizador seja alterada ou o ataque seja atenuado.

Que riscos estão associados a um ataque Overpass the Hash?

O principal risco de um ataque Overpass the Hash reside na sua capacidade de fornecer aos atacantes acesso não autorizado a recursos de rede e dados sensíveis. O ataque também facilita o movimento lateral dentro da rede e pode levar ao aumento de privilégios se a conta comprometida tiver direitos administrativos. Como o ataque utiliza mecanismos de autenticação legítimos, pode ser difícil de detetar e pode fornecer acesso persistente aos atacantes.

Tal como acontece com vários outros ataques, os ambientes que utilizam NTLM para autenticação são susceptíveis a ataques Overpass-the-Hash. Mas pergunte a uma sala cheia de 50 administradores do Active Directory se eles eliminaram a autenticação NTLM em sua floresta do Active Directory, e talvez um levante a mão. O uso do NTLM persiste por vários motivos:

  • Compatibilidade com versões anteriores
  • Suporte a aplicações herdadas
  • Falta de sensibilização ou de recursos para a transição para protocolos mais seguros

Por exemplo, as aplicações antigas que não foram actualizadas para utilizar métodos de autenticação modernos podem exigir NTLM. Certos dispositivos de armazenamento ligados à rede ou versões mais antigas de serviços baseados no Windows são predefinidos para NTLM. E algumas configurações do Microsoft Internet Information Services (IIS), quando definidas para utilizar a Autenticação do Windows, utilizam o NTLM se o protocolo Kerberos, mais seguro, não estiver corretamente configurado ou se os clientes não o suportarem. As versões mais antigas do SQL Server e de outros serviços de bases de dados podem ser configuradas para autenticar utilizadores com NTLM, particularmente quando se ligam a partir de sistemas não ligados a domínios ou num ambiente de grupo de trabalho. Mesmo a utilização do endereço IP de um recurso em vez do seu nome de anfitrião pode fazer com que o sistema use NTLM por defeito para autenticação.

Além disso, as aplicações de terceiros - especialmente as concebidas para compatibilidade entre plataformas - podem utilizar NTLM ao interagir com sistemas Windows. Este é frequentemente o caso de várias ferramentas de colaboração e gestão de documentos que necessitam de se integrar na partilha de ficheiros do Windows ou em aplicações Web mais antigas. Em alguns casos, os dispositivos de rede, como concentradores ou gateways VPN, que necessitam de autenticar utilizadores no Active Directory, podem utilizar NTLM se não estiverem totalmente integrados no Kerberos.

Os produtos, dispositivos, serviços ou aplicações que dependem do NTLM não tornam inerentemente um ambiente vulnerável a ataques Overpass the Hash. No entanto, aumentam a superfície de ataque. A combinação da utilização contínua do NTLM e de controlos de segurança insuficientes cria a vulnerabilidade que os ataques Overpass the Hash exploram. A transição do NTLM para o Kerberos ou o emprego de medidas de segurança adicionais (como a assinatura SMB) pode reduzir significativamente o risco.

Como é que se pode detetar um ataque Overpass the Hash?

A deteção de um ataque Overpass the Hash envolve a monitorização de padrões invulgares de pedidos de autenticação e de bilhetes no ambiente do Active Directory. Os profissionais de segurança devem configurar o registo e alertar para anomalias, incluindo:

  • Tempos de início de sessão invulgares
  • Logins de locais atípicos
  • Pedidos de bilhetes de serviço que não seguem o comportamento normal do utilizador

Os sistemas avançados de gestão de eventos e informações de segurança (SIEM) podem ajudar a correlacionar eventos e a identificar potenciais ataques. No entanto, alguns ataques muito prejudiciais são concebidos para escapar à monitorização baseada em eventos e registos.

As organizações também devem monitorizar a utilização de autenticação NTLM inesperada; os ambientes modernos favorecem frequentemente o Kerberos, fazendo com que a utilização de NTLM se destaque. Este tipo de ataque é aquele em que a análise do comportamento do utilizador faz realmente a diferença.

Como é que se pode mitigar um ataque Overpass the Hash?

A atenuação de um ataque Overpass the Hash requer uma abordagem multifacetada.

  • Minimizar a utilização da autenticação NTLM e utilizar Kerberos, sempre que possível.
  • Implemente políticas de palavras-passe fortes e evite a utilização das mesmas palavras-passe em diferentes contas para reduzir o impacto do roubo de hash.
  • Segmentar a rede para ajudar a evitar movimentos laterais.
  • Implementar políticas de bloqueio de contas para impedir tentativas de força bruta.
  • Habilite o Credential Guard no Windows 10 e no Windows Server 2016 e posterior para ajudar a impedir a extração de senhas de texto simples e hashes NTLM da memória.

Além disso, os administradores do Active Directory devem aplicar medidas de ação para se protegerem contra ataques do tipo Overpass the Hash:

  • Desativar a autenticação NTLM nos sistemas em que não é necessária e impor a utilização do Kerberos.
  • Assegurar que a Solução de Palavra-passe de Administrador Local (LAPS) é implementada para gerir palavras-passe de administrador local únicas.
  • Configure a Política de Grupo para impedir o armazenamento de hashes NTLM e para restringir o tráfego NTLM.
  • Empregar estratégias avançadas de auditoria e monitorização para detetar a utilização anómala de NTLM e a presença de ferramentas Overpass the Hash.
  • Formar os utilizadores para reconhecerem tentativas de phishing e protegerem as suas credenciais.
  • Manter os sistemas corrigidos e actualizados para atenuar as vulnerabilidades que podem conduzir ao roubo de credenciais.

Defender-se contra ataques que se fazem passar por utilizadores

O ataque Overpass the Hash constitui uma ameaça significativa aos ambientes do Active Directory, aproveitando o protocolo NTLM para se fazer passar por utilizadores legítimos. Ao aproveitar valores de hash roubados, os invasores podem obter acesso não autorizado, comprometendo a integridade e a confidencialidade dos ativos organizacionais. Vigilância e medidas de defesa proativas são essenciais para mitigar os riscos associados a esse vetor de ataque.

À medida que os adversários cibernéticos continuam a desenvolver as suas tácticas, é imperativo reforçar o seu ambiente Active Directory contra ataques como o Overpass the Hash. Os administradores podem impedir esses ataques, protegendo seus sistemas contra acesso não autorizado e mantendo a confiabilidade de seus mecanismos de autenticação, por meio de medidas proativas, incluindo:

A proteção de ambientes híbridos do Active Directory é um processo contínuo. Manter-se à frente de ameaças como o Overpass the Hash exige um compromisso com as práticas recomendadas de segurança e uma cultura de conscientização em toda a organização.